Uno dei bug di Windows più gravi di quest'anno è ora in fase di sfruttamento attivo

0
5

Una delle vulnerabilità di Windows a più alto impatto patchate quest'anno è ora sotto sfruttamento attivo da parte di hacker malintenzionati, ha avvertito Microsoft durante la notte, in uno sviluppo che esercita una pressione crescente sui ritardatari per l'aggiornamento.

CVE-2020-1472, man mano che viene tracciata la vulnerabilità, consente agli hacker di assumere immediatamente il controllo di Active Directory, una risorsa del server Windows che funge da potente gatekeeper per tutte le macchine connesse a una rete. I ricercatori hanno soprannominato la vulnerabilità Zerologon, perché consente agli aggressori con un accesso minimo a una rete vulnerabile di accedere ad Active Directory inviando una stringa di zeri nei messaggi che utilizzano il protocollo Netlogon.

Zerologon ha una valutazione di gravità critica da Microsoft e un massimo di 10 nell'ambito del Common Vulnerability Scoring System. Nonostante l'alto punteggio, la vulnerabilità dell'escalation dei privilegi ha ricevuto scarsa, se non nessuna, attenzione quando Microsoft l'ha patchata ad agosto e Microsoft ha ritenuto "meno probabili" le possibilità di un effettivo sfruttamento.

Il mondo della sicurezza ha finalmente preso nota la scorsa settimana con il rilascio di diversi exploit proof-of-concept e un resoconto dettagliato, che ha dimostrato la gravità della vulnerabilità e la relativa facilità nello sfruttarla.

Tutte le mani sul ponte

Mercoledì sera, Microsoft ha pubblicato una serie di tweet secondo cui Zerologon veniva ora sfruttato in modo selvaggio.

"Microsoft sta monitorando attivamente l'attività degli attori delle minacce utilizzando gli exploit per la vulnerabilità CVE-2020-1472 Netlogon EoP, soprannominata Zerologon", hanno scritto i rappresentanti di Microsoft. "Abbiamo osservato attacchi in cui gli exploit pubblici sono stati incorporati nei playbook degli aggressori".

I clienti di Microsoft 365 possono fare riferimento al report di analisi delle minacce pubblicato in Microsoft Defender Security Center. Il report di analisi delle minacce contiene dettagli tecnici, mitigazioni e dettagli di rilevamento progettati per consentire a SecOps di rilevare e mitigare questa minaccia.

— Microsoft Security Intelligence (@MsftSecIntel) 24 settembre 2020

La società ha fornito diverse firme digitali dei file utilizzati negli attacchi, ma non ha fornito pubblicamente ulteriori dettagli. Microsoft ha pubblicato un report di analisi delle minacce progettato per aiutare gli amministratori a valutare la vulnerabilità delle loro reti, ma è disponibile solo per gli abbonati a Office 365. Per tutti gli altri, la migliore risorsa è questo white paper di Secura, l'azienda di sicurezza che ha scoperto Zerologon. I rappresentanti di Microsoft non hanno risposto a un'e-mail che chiedeva una copia del rapporto di analisi.

Annuncio pubblicitario

gioielli della corona

È difficile sopravvalutare la gravità di un exploit che rende possibile assumere il controllo di un Active Directory utilizzando diverse dozzine di righe di codice. Le directory attive (e i server controller di dominio su cui vengono eseguiti) sono le risorse più apprezzate dagli aggressori ransomware. Con il controllo sulla directory di provisioning centrale, possono infettare intere flotte di macchine in pochi minuti. Anche gli hacker sponsorizzati dalla nazione che eseguono campagne di spionaggio di precisione chirurgica apprezzano tale accesso perché consente loro di controllare specifiche risorse di rete di interesse.

Entrambi i tipi di aggressori spesso iniziano gli attacchi compromettendo un computer con privilegi di basso livello su una rete, spesso inducendo un dipendente a fare clic su un collegamento o file dannoso o inserendo una password in una pagina di phishing. A volte possono essere necessarie settimane o mesi per trasferire i privilegi di basso livello a quelli necessari per installare malware o eseguire comandi. In alcuni casi, Zerologon può consentire a un utente malintenzionato con questo tipo di presa di controllo di ottenere quasi istantaneamente il controllo di Active Directory.

Potrebbero anche esserci modi per sfruttare Zerologon direttamente da Internet senza alcun accesso precedente. Ricerche su Internet come questa e questa mostrano che più di 33.000 e 3 milioni di reti stanno esponendo controller di dominio e server di accesso Remote Procedure Call all'Internet pubblico. Nel caso in cui una singola rete esponga entrambe le risorse, la combinazione potrebbe lasciare una rete aperta senza altri requisiti.

Ingrandisci / Controller di dominio esposti a Internet.

Binario Edge

Ingrandisci / Chiamata di procedura remota esposta a Internet.

Binario Edge

Il rischio di Zerologon non è solo quello di affrontare un catastrofico hack. C'è anche la minaccia di applicare una patch che interrompe la risorsa più sensibile di una rete. Alla fine della scorsa settimana, il dipartimento di sicurezza informatica del Dipartimento della sicurezza interna ha incaricato le agenzie di applicare la patch entro lunedì sera o rimuovere i controller di dominio da Internet.

Con la notizia meno di tre giorni dopo che gli exploit sono allo stato brado, è chiaro che c'era una buona ragione per la direttiva.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui