Le organizzazioni dovrebbero dare la priorità alle patch rispetto al rilevamento quando si tratta di Zerologon, una vulnerabilità di escalation dei privilegi recentemente rivelata nel sistema operativo Windows server di Microsoft.
Il bug, che ha ricevuto un 10 su 10 per gravità dal Common Vulnerability Scoring System, sfrutta un difetto nel protocollo crittografico personalizzato utilizzato da Netlogon per autenticare le comunicazioni tra un client e il server di dominio Windows e aggiornare le password.
In breve, l'attaccante può falsificare qualsiasi computer o persona su una rete sfruttando i punti deboli del protocollo di crittografia personalizzato di Netlogon quando un dominio del server Windows tenta di autenticare l'identità del client. Questo perché in alcuni casi, quando Netlogon utilizza la crittografia AES predefinita per generare una chiave di sessione, crea un valore di vettore di inizializzazione composto da tutti zeri. Per ogni 256 chiavi generate, i ricercatori hanno scoperto che in media una si tradurrà in un testo cifrato tutto zero. Poiché non esiste alcun limite al numero di tentativi di accesso non validi che un client può effettuare, un imitatore sulla rete potrebbe facilmente sfidare il server con la forza bruta più e più volte fino a quando le parti non decidono su una chiave zero.
Tom Tervoort, un ricercatore di sicurezza presso Secura, ha osservato che un utente malintenzionato impiega solo pochi secondi per scorrere quei 256 tentativi fino a quando non ottiene una chiave composta da tutti gli zeri. Da lì, possono disabilitare altri protocolli di sicurezza come la firma e il sigillo RPC, modificare la password del controller di dominio e persino ottenere privilegi di amministratore in un'azienda.
"Questo attacco ha un impatto enorme: in pratica consente a qualsiasi utente malintenzionato sulla rete locale (come un insider malintenzionato o qualcuno che ha semplicemente collegato un dispositivo a una porta di rete in sede) di compromettere completamente il dominio Windows", ha scritto Tervoort in un white paper tecnico sul difetto.
Adam Meyers, vicepresidente dell'intelligence di CrowdStrike, ha dichiarato a SC Media che un utente malintenzionato dovrebbe prima avere un punto d'appoggio iniziale in una rete vittima, probabilmente attraverso malware comune o un attacco di phishing riuscito, prima di sfruttare il bug. Ma coloro che hanno tale accesso possono ridurre sostanzialmente il tempo di breakout prima di spostarsi lateralmente e compromettere altri sistemi e dispositivi. Gli attori del ransomware e altri criminali informatici potrebbero trovare un'opzione particolarmente interessante aumentare i loro privilegi su una rete e distribuire il loro carico utile prima ancora che un'organizzazione sappia cosa li ha colpiti.
"Questo è qualcosa che cambierà il calcolo della velocità con cui un avversario può muoversi", ha detto.
Le organizzazioni del settore pubblico e privato si stanno muovendo per dare l'allarme. Nella tarda notte di venerdì, la Cybersecurity and Infrastructure Security Agency ha emesso una direttiva di emergenza che ordina alle agenzie federali civili di patchare o disabilitare immediatamente tutti i server Windows interessati e ha avvertito le organizzazioni non governative di fare lo stesso.
"Sebbene la Direttiva di emergenza si applichi solo alle … agenzie federali, raccomandiamo vivamente che il governo statale e locale, il settore privato e il pubblico americano applichino anche questo aggiornamento di sicurezza il prima possibile", ha twittato l'agenzia poco dopo la pubblicazione della direttiva .
Due organizzazioni, tra cui Secura , hanno già sviluppato e rilasciato il codice Proof of Concept e Meyers ha affermato che sarà presto incorporato in strumenti open source come Mimikatz che sono un punto fermo per molti gruppi di hacker criminali.
Di conseguenza, le organizzazioni dovrebbero concentrarsi sull'aggiornamento immediato al sistema operativo più recente anziché sull'impostazione di protocolli di rilevamento, sebbene ciò possa anche fornire consapevolezza della situazione e aiutare a identificare un utente malintenzionato sulla rete che cerca di sfruttare il difetto. Per fortuna, Microsoft ha già rilasciato una patch in agosto che consente ai controller di dominio di proteggere i dispositivi Windows per impostazione predefinita e aggiunge anche nuove protezioni registrando eventuali eventi sospetti o di avviso per i dispositivi vulnerabili in tutto il dominio. Una seconda patch richiederà che tutti i dispositivi Windows e non Windows utilizzino Remote Procedure Call sicure con Netlogon, ma Microsoft spinge l'aggiornamento fino al primo trimestre del 2021 per consentire ad alcuni fornitori di risolvere i problemi di implementazione.
Tuttavia, gli esperti consigliano alle aziende di procedere rapidamente nell'implementazione dell'aggiornamento iniziale.
"Penso che questa sia una delle [vulnerabilità] che è molto probabile che venga utilizzata dagli autori delle minacce ora, quindi non passerei molto tempo ad aspettare la patch", ha detto Meyers.
Il bug post Critical Zerologon utilizza una crittografia debole per falsificare gli utenti della rete apparso per primo su SC Media .