Vulnerabilità Zerologon di Windows già sfruttata nei nuovi ransomware

Battezzata Zerologon si tratta di una vulnerabilità scoperta in Windows che è stata parzialmente risolta da Microsoft con la pubblicazione degli aggiornamenti qualitativi di agosto 2020: Grave falla in Windows: gli aggressori possono impadronirsi dei controller di dominio.

Il problema di sicurezza interessa l’implementazione di Netlogon Remote Protocol, un’interfaccia RPC (Remote Procedure Call) che viene utilizzata dai dispositivi che fanno parte di un dominio Active Directory.
Aggiungendo una lunga serie di zero (da qui il nome scelto per descrivere la vulnerabilità) ad alcuni parametri usati durante il processo di autenticazione con Netlogon, un aggressore può assumere pieno controllo sul dominio e accedere a tutti i sistemi connessi in rete locale.

A testimonianza di quanto sia importante gestire adeguatamente il problema di sicurezza alla base di Zerologon, Microsoft ha pubblicato un documento di supporto che illustra le quattro fasi distinte da seguire per mettere in sicurezza le proprie reti basate su controller di dominio Active Directory.

Adesso i tecnici dell’azienda di Redmond confermano che i meccanismi sui quali poggia Zerologon sono stati inseriti all’interno di un ransomware sviluppato dagli stessi malware writer che, dal 2014, sono autori di una lunga serie di minacce.
Tra le varie vittime del gruppo di criminali informatici c’è anche l’Università di Maastricht (Paesi Bassi): l’ente accademico accettò di versare 30 Bitcoin (circa 186.000 euro) per recuperare i dati memorizzati sui vari sistemi, aggrediti dal ransomware Clop.

A settembre tanti ricercatori hanno pubblicato diversi exploit in grado di sfruttare la vulnerabilità Zerologon: Microsoft spiega che quel materiale è stato adesso combinato e ottimizzato per rendere il ransomware capace di assumere pieno controllo su un intero dominio.