Grave falla in Windows: gli aggressori possono impadronirsi dei controller di dominio

In generale è bene attendere almeno alcuni giorni prima di installare gli aggiornamenti qualitativi che Microsoft rilascia ogni secondo martedì del mese. Lo abbiamo detto più volte: si tratta di un’accortezza che aiuta a proteggersi da eventuali problematiche che non fossero emerse durante il precedente periodo di test: Windows Update: come gestire gli aggiornamenti.

Prima o poi, però, gli aggiornamenti di sicurezza rilasciati da Microsoft vanno installati: sui sistemi server, sulle workstation, sui PC degli utenti finali. Diversamente il rischio sarebbe quello di esporsi ad attacchi che vengono posti in essere da vari gruppi di criminali informatici e malware writer.

Nella maggior parte dei casi, infatti, quando Microsoft rilascia i suoi aggiornamenti mensili per Windows e per gli altri software non sono ancora pubblicamente noti codici exploit che permettono di fare leva sulle varie problematiche di sicurezza. Ovviamente ci sono alcune eccezioni e a seconda della gravità del bug è bene provvedere in maniera più o meno solerte al download e all’installazione degli aggiornamenti.

Falla Zerologon: perché è importante aggiornare subito

A metà agosto 2020 Microsoft ha risolto una vulnerabilità che interessa tutte le versioni di Windows Server. Contraddistinto con l’identificativo CVE-2020-1472, il problema era stato allora indicato come di scarsa entità (“2 – Exploitation Less Likely“).

L’azienda olandese Secura ha però scoperto che la falla di sicurezza in questione è destinata a rivelarsi molto più grave del previsto. Innanzi tutto, è stato pubblicato il codice PoC (proof-of-concept) a partire dal quale i criminali informatici possono realizzare exploit funzionanti per attaccare macchine Windows Server. Il problema è particolarmente critico perché può essere sfruttato per:

1) “impersonificare” l’identità di qualsiasi computer su una rete e autenticarsi sul controller di dominio
2) disabilitare le funzioni di sicurezza nel processo di autenticazione di Netlogon
3) modificare la password dei sistemi a livello di Active Directory agendo direttamente sul controller di dominio

A questo indirizzo su GitHub Secura ha pubblicato uno strumento software che permette di verificare se il proprio controller di dominio sia vulnerabile e quindi potenzialmente esposto a rischi di aggressione.

Per la semplicità con la quale l’aggressione può essere condotta in porto, al problema CVE-2020-1472 è stato adesso assegnato un valore 10 su scala 10 (CVSSv3).

Il bug è stato chiamato Zerologon perché sfrutta un algoritmo crittografico debole utilizzato nel processo di autenticazione del componente Netlogon di Windows. Aggiungendo una lunga serie di zero (da qui il nome scelto) ad alcuni parametri usati durante il processo di autenticazione con Netlogon, un aggressore può assumere pieno controllo sul dominio e accedere a tutti i sistemi connessi in rete locale.

La falla di sicurezza interessa quindi i sistemi Windows Server configurati come controller di dominio ma può essere utilizzata per violare successivamente anche i sistemi client, comprese le macchine Windows 10, collegate alla LAN.

L’attacco Zerologon, comunque, non funziona dall’esterno della rete: non può essere utilizzato per assumere il controllo dei sistemi Windows Server dalla WAN, per esempio. Un aggressore ha quindi bisogno di accedere in qualche altro modo alla rete locale da attaccare.
Purtuttavia, quando tale condizione è soddisfatta, è davvero semplicissimo assumere il controllo di tutti gli asset altrui.

“Questo attacco ha un impatto enorme“, ha commentato il team di Secura. “In sostanza permette a qualsiasi aggressore sulla rete locale di compromettere completamente un qualunque dominio Windows“.

Per mettersi al riparo dai rischi di attacco è quindi bene correre a installare le patch indicate nel bollettino CVE-2020-1472.
Microsoft mette comunque le mani avanti e spiega che installando l’aggiornamento correttivo, l’autenticazione potrebbe non funzionare più su quei dispositivi che usano algoritmi crittografici ormai datati. Inoltre, l’azienda di Redmond ha in programma di rilasciare una patch più completa, per lo stesso problema, a febbraio 2021. Servirà per rafforzare le difese di Netlogon e scongiurare ulteriori rischi di aggressione.