Gli hacker utilizzano un grave bug di Windows per eseguire il backdoor dei server senza patch

419

Getty Images

Una delle vulnerabilità più critiche di Windows rivelate quest'anno è sotto attacco attivo da parte di hacker che stanno cercando di backdoor server che memorizzano le credenziali per ogni utente e account amministrativo su una rete, ha detto un ricercatore venerdì.

Zerologon, come è stata soprannominata la vulnerabilità, ha ottenuto un'attenzione diffusa il mese scorso quando l'azienda che l'ha scoperta ha affermato che potrebbe fornire agli aggressori l'accesso immediato alle directory attive, che gli amministratori utilizzano per creare, eliminare e gestire gli account di rete. Le directory attive e i controller di dominio su cui girano sono tra i premi più ambiti dall'hacking, perché una volta dirottati, consentono agli aggressori di eseguire codice all'unisono su tutte le macchine connesse. Microsoft ha corretto CVE-2020-1472, poiché la falla di sicurezza viene indicizzata, ad agosto.

Venerdì, Kevin Beaumont, lavorando in qualità di ricercatore indipendente, ha dichiarato in un post sul blog di aver rilevato attacchi all'honeypot che usa per tenersi al passo con gli attacchi che gli hacker stanno usando in natura. Quando il suo server esca è stato rimosso dalla patch, gli aggressori sono stati in grado di utilizzare uno script PowerShell per modificare con successo una password di amministratore e backdoor il server.

Qualcosa di più problematico che sofisticato

In un'intervista, Beaumont ha affermato che l'attacco sembrava essere interamente programmato, con tutti i comandi completati in pochi secondi. Con ciò, gli aggressori hanno installato una backdoor che consente l'accesso amministrativo remoto ai dispositivi all'interno della sua rete fittizia. Gli aggressori, che hanno impostato un account con il nome utente sdb e la password jinglebell110 @, hanno abilitato anche Remote Desktop. Di conseguenza, gli aggressori continuerebbero ad avere accesso remoto se CVE-2020-1472 fosse successivamente patchato. Annuncio pubblicitario

"La conclusione per me è che gli aggressori stanno spruzzando Internet per fornire backdoor in sistemi Active Directory privi di patch in modo automatizzato", ha detto Beaumont ad Ars. "Non è una buona notizia. Non è super sofisticato, ma questi aggressori stanno facendo qualcosa di efficace, il che di solito è più problematico. "

I risultati di venerdì sono i più dettagliati finora sugli attacchi in-the-wild che sfruttano la vulnerabilità critica. Alla fine del mese scorso e di nuovo all'inizio di questo mese Microsoft ha avvertito che Zerologon era sotto attacco attivo da parte di hacker, alcuni o tutti parte di un gruppo di minacce denominato Mercury, che ha legami con il governo iraniano. Qualche settimana fa, l'honeypot di Beaumont ha rilevato anche tentativi di exploit.

I ricercatori hanno assegnato alla vulnerabilità il nome Zerologon perché gli attacchi funzionano inviando una stringa di zeri in una serie di messaggi che utilizzano il protocollo Netlogon, su cui i server Windows fanno affidamento per una varietà di attività, incluso il consentire agli utenti finali di accedere a una rete.

Le persone senza autenticazione possono utilizzare l'exploit per ottenere credenziali amministrative di dominio, a condizione che gli aggressori abbiano la capacità di stabilire connessioni TCP con un controller di dominio vulnerabile. In alcuni casi, gli aggressori possono utilizzare una vulnerabilità separata per ottenere un punto d'appoggio all'interno di una rete e quindi sfruttare Zerologon per assumere il controllo del controller di dominio, ha dichiarato venerdì scorso il braccio di sicurezza informatica del Dipartimento della sicurezza nazionale, la Cybersecurity and Infrastructure Security Agency. L'agenzia ha affermato che gli exploit minacciano i sistemi elettorali controllati dal governo.

Per essere efficaci, gli honeypot generalmente devono abbassare le difese standard su molte reti. In questo senso, possono dare una visione unilaterale di ciò che sta accadendo nel mondo reale. I risultati di Beaumont sono tuttavia illustrativi sia dell'efficacia degli attuali attacchi Zerologon sia dei risultati preoccupanti che ottengono.