I ricercatori hanno sviluppato e pubblicato un exploit proof-of-concept per una vulnerabilità di Windows patchata di recente che può consentire l'accesso ai gioielli della corona di un'organizzazione: i controller di dominio di Active Directory che fungono da gatekeeper onnipotente per tutte le macchine connesse a una rete.
CVE-2020-1472, quando viene rilevata la vulnerabilità, ha un livello di gravità critico da Microsoft e un massimo di 10 in base al Common Vulnerability Scoring System. Gli exploit richiedono che un utente malintenzionato abbia già un punto d'appoggio all'interno di una rete mirata, come insider non privilegiato o attraverso la compromissione di un dispositivo connesso.
Un bug “folle” dal “grande impatto”
Tali exploit post-compromissione sono diventati sempre più preziosi per gli aggressori che spingono ransomware o spyware di spionaggio. Indurre i dipendenti a fare clic su collegamenti e allegati dannosi nelle e-mail è relativamente facile. L'utilizzo di quei computer compromessi per orientarsi verso risorse più preziose può essere molto più difficile.
A volte possono essere necessarie settimane o mesi per trasferire i privilegi di basso livello a quelli necessari per installare malware o eseguire comandi. Inserisci Zerologon, un exploit sviluppato dai ricercatori della società di sicurezza Secura. Consente agli aggressori di ottenere istantaneamente il controllo di Active Directory. Da lì, avranno carta bianca per fare qualsiasi cosa vogliano, dall'aggiunta di nuovi computer alla rete all'infezione di ognuno con malware a loro scelta.
"Questo attacco ha un impatto enorme", hanno scritto i ricercatori di Secura in un white paper pubblicato venerdì. “In pratica consente a qualsiasi utente malintenzionato sulla rete locale (come un insider malintenzionato o qualcuno che ha semplicemente collegato un dispositivo a una porta di rete locale) di compromettere completamente il dominio di Windows. L'attacco è completamente non autenticato: l'attaccante non ha bisogno di credenziali utente".
I ricercatori di Secura che hanno scoperto la vulnerabilità e l'hanno segnalata a Microsoft hanno affermato di aver sviluppato un exploit che funziona in modo affidabile, ma dato il rischio, non lo rilasciano finché non sono sicuri che la patch di Microsoft sia stata ampiamente installata su server vulnerabili. I ricercatori, tuttavia, hanno avvertito che non è difficile utilizzare la patch di Microsoft per lavorare a ritroso e sviluppare un exploit. Nel frattempo, ricercatori separati da altre società di sicurezza hanno pubblicato il proprio codice di attacco proof-of-concept qui, qui e qui.
Annuncio
Il rilascio e la descrizione del codice exploit hanno rapidamente attirato l'attenzione della US Cybersecurity and Infrastructure Security Agency, che lavora per migliorare la sicurezza informatica a tutti i livelli di governo. Anche Twitter lunedì è esploso con commenti che commentano la minaccia rappresentata dalla vulnerabilità.
"Zerologon (CVE-2020-1472), la vulnerabilità più folle di sempre!" un utente di Windows ha scritto. "Privilegi di amministratore di dominio immediatamente dall'accesso alla rete non autenticato a DC."
"Ricordi qualcosa sull'accesso meno privilegiato e che non importa se poche scatole vengono sfruttate?" Ha scritto Zuk Avraham, un ricercatore fondatore e CEO della società di sicurezza ZecOps. "Oh beh… CVE-2020-1472 / #Zerologon ti farà cambiare idea".
Non possiamo semplicemente ignorare gli attaccanti quando non causano danni. Non possiamo semplicemente cancellare i computer con malware/problemi senza prima esaminare i problemi. Non possiamo semplicemente ripristinare un'immagine senza controllare quali altre risorse sono infette/come è entrato il malware.
— Zuk (@ihackbanme) 14 settembre 2020
Chiavi del regno
Zerologon funziona inviando una stringa di zeri in una serie di messaggi che utilizzano il protocollo Netlogon, su cui si basano i server Windows per una serie di attività, inclusa la possibilità per gli utenti finali di accedere a una rete. Le persone senza autenticazione possono utilizzare l'exploit per ottenere credenziali amministrative del dominio, purché gli aggressori abbiano la capacità di stabilire connessioni TCP con un controller di dominio vulnerabile.
La vulnerabilità deriva dall'implementazione di Windows di AES-CFB8 o dall'uso del protocollo di crittografia AES con feedback di cifratura per crittografare e convalidare i messaggi di autenticazione mentre attraversano la rete interna.
Affinché AES-CFB8 funzioni correttamente, i cosiddetti vettori di inizializzazione devono essere univoci e generati casualmente con ciascun messaggio. Windows non ha rispettato questo requisito. Zerologon sfrutta questa omissione inviando messaggi Netlogon che includono zeri in vari campi scelti con cura. L'articolo di Secura offre un'analisi approfondita della causa della vulnerabilità e dell'approccio in cinque fasi per sfruttarla.
In una dichiarazione, Microsoft ha scritto: "Un aggiornamento di sicurezza è stato rilasciato nell'agosto 2020. I clienti che applicano l'aggiornamento o hanno gli aggiornamenti automatici abilitati, saranno protetti".
Come accennato in alcune delle osservazioni di Twitter, è probabile che alcuni oppositori sminuiscano la gravità dicendo che, ogni volta che gli aggressori ottengono un punto d'appoggio in una rete, è già finita.
Tale argomento è in contrasto con il principio della difesa in profondità, che sostiene la creazione di più livelli di difesa che anticipano le violazioni riuscite e creano ridondanze per mitigarle.
Gli amministratori sono comprensibilmente cauti nell'installare aggiornamenti che influiscono su componenti di rete tanto sensibili quanto i controller di dominio. Nel caso in questione, potrebbe esserci più rischio nel non installare che installare prima di quanto si potrebbe desiderare. Le organizzazioni con server vulnerabili dovrebbero raccogliere tutte le risorse di cui hanno bisogno per assicurarsi che questa patch venga installata prima piuttosto che dopo.
