Vulnerabilità di Zerologon: cos’è e come intervenire

Nel settembre 2020 Secura ha pubblicato un articolo che rivelava una vulnerabilità in Windows Server (tutte le versioni conosciute) Netlogon Remote Protocol . Questa vulnerabilità è nota come CVE-2020-1472 o più comunemente Zerologon.

Rappresenta una grave minaccia per le organizzazioni poiché prende di mira il controller di dominio (DC), ove presente. Gli aggressori prendono di mira i controller di dominio per ottenere l’accesso all’account di amministratore e per controllare gli host e i server collegati al data center. Ciò consente di ottenere l’accesso all’intero ambiente compromesso.

L’attacco utilizza difetti in un protocollo di autenticazione che convalida l’autenticità e l’identità di un computer aggiunto a un dominio nel controller di dominio. A causa dell’uso errato di una modalità operativa AES è possibile falsificare l’identità di qualsiasi account computer (incluso quello del controller di dominio stesso) e impostare una password vuota per quell’account nel dominio. Lo sfruttamento consiste nell’invio di una grande quantità di richieste di autenticazione a un controller di dominio tramite NetLogon. Questi contengono una richiesta del client che contiene solo 0 per le credenziali e risulta in un accesso riuscito quando una buona chiave viene scelta casualmente dal server. Una buona chiave viene scelta in media 1 su 256 volte.

Gli attacchi ransomware possono essere eseguiti facilmente una volta acquisiti questi privilegi, rendendo questo attacco potenzialmente devastante per un’organizzazione.

Microsoft ha già rilasciato un aggiornamento di patch di sicurezzanel mese di agosto 2020. Questo aggiornamento è il primo di un aggiornamento in due parti (è prevista la seconda parte per essere rilasciato il 2 febbraio ^° 2021) e fornisce le seguenti modifiche al protocollo NetLogon:

• Impone l’utilizzo sicuro di RPC per gli account macchina sui dispositivi basati su Windows.
• Impone l’utilizzo sicuro di RPC per gli account.
• Impone l’utilizzo sicuro di RPC per tutti i controller di dominio Windows e non Windows.
• Include un nuovo criterio di gruppo per consentire gli account dei dispositivi non conformi (quelli che utilizzano connessioni di canali protetti di Netlogon vulnerabili). 

Cosa facciamo adesso??

Nell’aggiornamento di agosto, Microsoft ha aggiunto cinque nuovi ID evento per notificare le connessioni di Netlogon vulnerabili. Ad esempio, l’ID evento 5829 viene generato quando una connessione al canale protetto “Accesso rete vulnerabile” è consentita durante una fase di distribuzione iniziale.

La registrazione di eventi specifici per questa vulnerabilità è fornita da eventi di Windows con i seguenti riferimenti:

• EventID 5827,
• EventID 5828,
• EventID 5829,
• EventID 5830,
• ID evento 5831

Gli amministratori possono monitorare gli ID evento 5827 e 5828 ​​quando le connessioni di accesso alla rete vulnerabili vengono negate e gli ID evento 5830 e 5831, attivati ​​quando le connessioni di accesso alla rete vulnerabili sono consentite dai controller di dominio, con patch tramite Criteri di gruppo. 

Sono interessate le seguenti versioni del server:

• Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
• Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
• Windows Server 2012
• Windows Server 2012 (installazione Server Core)
• Windows Server 2012 R2
• Windows Server 2012 R2 (installazione Server Core)
• Windows Server 2016
• Windows Server 2016 (installazione Server Core)
• Windows Server 2019
• Windows Server 2019 (installazione Server Core)
• Windows Server, versione 1903 (installazione Server Core)
• Windows Server, versione 1909 (installazione Server Core)
• Windows Server, versione 2004 (installazione Server Core)

E’ necessario individuare tutti i dispositivi che eseguono connessioni con questi EventID e verificare se è possibile “correggere” il loro comportamento (es. aggiornamenti, firmware update, ecc.). All’uscita della patch di Febbraio sarà imposto l’utilizzo sicuro di RPC e questi dispositivi potrebbero non funzionare correttamente.

Vulnerabilità di Zerologon, Vulnerabilità Zerologon, Zerologon, Zerologon vulnerability, zerologon event id, Detecting the Zerologon vulnerability, What is Zerologon, Cos’è Zerologon vulnerability, Microsoft’s Zerologon vulnerability fix, Zerologon vulnerability domain controller