I federali emettono un ordine di emergenza per le agenzie per correggere i difetti critici di Windows

0
6

Martedì, il Dipartimento della sicurezza interna degli Stati Uniti concede alle agenzie federali fino a mezzanotte per correggere una vulnerabilità critica di Windows che può rendere facile per gli aggressori diventare amministratori onnipotenti con carta bianca per creare account, infettare un'intera rete con malware ed eseguire azioni altrettanto disastrose.

Zerologon, come i ricercatori hanno soprannominato la vulnerabilità, consente agli hacker malintenzionati di ottenere istantaneamente il controllo non autorizzato di Active Directory. Un Active Directory archivia i dati relativi a utenti e computer autorizzati a utilizzare e-mail, condivisione di file e altri servizi sensibili all'interno di organizzazioni di grandi dimensioni. Zerologon è tracciato come CVE-2020-1472. Microsoft ha pubblicato una patch il mese scorso.

Un rischio inaccettabile

Il difetto, presente in tutte le versioni del server Windows supportate, ha un livello di gravità critico da parte di Microsoft e un massimo di 10 nell'ambito del Common Vulnerability Scoring System. Un ulteriore aumento della posta in gioco è stato il rilascio da parte di più ricercatori di codice exploit proof-of-concept che potrebbe fornire una tabella di marcia per gli hacker malintenzionati per creare attacchi funzionanti.

I funzionari della Cybersecurity and Infrastructure Security Agency, che appartiene al DHS, hanno emesso venerdì una direttiva di emergenza che ha avvertito delle conseguenze potenzialmente gravi per le organizzazioni che non applicano le patch. Si afferma:

La CISA ha stabilito che questa vulnerabilità rappresenta un rischio inaccettabile per il ramo esecutivo civile federale e richiede un'azione immediata e di emergenza. Tale determinazione si basa su quanto segue:

  • la disponibilità del codice exploit in natura aumenta la probabilità che qualsiasi controller di dominio senza patch venga sfruttato;
  • la presenza diffusa dei controller di dominio interessati in tutta l'impresa federale;
  • l'alto potenziale di compromesso dei sistemi informativi delle agenzie;
  • il grave impatto di un compromesso riuscito; e
  • la presenza continua della vulnerabilità oltre i 30 giorni dal rilascio dell'aggiornamento.

CISA, che ha l'autorizzazione a emettere direttive di emergenza volte a mitigare le minacce alla sicurezza note o sospette, concede alle organizzazioni fino alle 23:59 EDT di lunedì per installare una patch Microsoft o disconnettere il controller di dominio vulnerabile dalla rete dell'organizzazione.

Annuncio pubblicitario

Entro le 23:59 EDT di mercoledì, le agenzie devono inviare un rapporto di completamento che attesti che l'aggiornamento è stato applicato a tutti i server interessati o garantire che i server appena approvvigionati o precedentemente disconnessi verranno corretti.

Lo sfruttamento è più facile del previsto

Quando i dettagli della vulnerabilità sono emersi per la prima volta martedì scorso, molti ricercatori hanno ipotizzato che potesse essere sfruttata solo quando gli aggressori avevano già un punto d'appoggio all'interno di una rete vulnerabile, da un interno malintenzionato o da un aggressore esterno che aveva già ottenuto privilegi utente di livello inferiore. Tali exploit post-compromissione possono essere seri, ma il requisito può essere una barra sufficientemente alta per guadagnare tempo sulle reti vulnerabili o spingere gli aggressori a sfruttare falle di sicurezza più semplici ma meno gravi.

Da allora, diversi ricercatori hanno affermato che è possibile che gli aggressori sfruttino la vulnerabilità su Internet senza prima avere un accesso di così basso livello. Il motivo: nonostante i rischi, alcune organizzazioni espongono i propri controller di dominio, ovvero i server che eseguono Active Directory, a Internet. Le reti che eseguono questa operazione e hanno anche un Server Message Block esposto per la condivisione di file o una chiamata di procedura remota per lo scambio di dati all'interno della rete possono essere sfruttate senza altri requisiti.

"Se hai impostato i rilevamenti per #zerologon (CVE-2020-1472), non dimenticare che potrebbe essere sfruttato anche su SMB!" hanno scritto i ricercatori della società di sicurezza Zero Networks. "Esegui questo script di test (basato su @SecuraBV ) sia per RPC/TCP che per RPC/SMB."

Kevin Beaumont, in qualità di ricercatore indipendente, ha aggiunto: "C'è una buona (ma minore) barriera all'ingresso in quanto finora gli exploit non automatizzano l'interrogazione remota del dominio e del nome Netbios di DC. Un controller di dominio senza patch = ogni endpoint di dominio con patch è vulnerabile a RCE. Un altro perno, se hai SMB aperto: RPC su SMB. Attn la gente di rilevamento della rete. "

Un altro perno, se hai SMB aperto: RPC su SMB. Attn gente di rilevamento della rete. https://t.co/2np1gLgTfk

— Kevin Beaumont (@GossiTheDog) 17 settembre 2020

Le query che utilizzano il servizio di ricerca Binary Edge mostrano che quasi 30.000 controller di dominio sono visualizzabili e altri 1,3 milioni di server hanno RPC esposti. Nel caso in cui una di queste impostazioni si applichi a un singolo server, potrebbe essere vulnerabile ad attacchi remoti che inviano pacchetti appositamente predisposti che danno pieno accesso alla directory attiva.

Beaumont e altri ricercatori continuano a trovare prove che le persone stiano sviluppando attivamente un codice di attacco, ma finora non ci sono rapporti pubblici che dimostrino che gli exploit, riusciti o tentati, siano attivi. Data la posta in gioco e la quantità di informazioni pubblicamente disponibili sulla vulnerabilità, non sarebbe sorprendente vedere emergere exploit in the wild nei prossimi giorni o settimane.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui