Logo
Hamburger Menu Icon
Yoroi Background

Grave Vulnerabilità in Sistemi Windows Server (Zerologon)

09/15/2020

Proto: N020920.

Con la presente Yoroi desidera informarla riguardo una vulnerabilità critica in ambiente Windows Active Directory, tecnologia utilizzata dalla maggior parte delle aziende Enterprise per amministrare le risorse di rete interne. La vulnerabilità è nota con l’identificativo CVE-2020-1472, ed è soprannominata Zerologon.

La problematica risiede nel protocollo di autenticazione con il Domain Controller Netlogon Remote Protocol (MS-NRPC), l’implementazione insicura dell’algoritmo di cifratura AES-CFB8 rende possibile ad un attaccante di rete di inviare messaggi arbitrari non previsti per un utente standard, permettendogli così di ottenere i privilegi di amministratore.

Questa condizione rappresenta uno scenario di rischio rilevante in quanto l’attaccante può sfruttare questa criticità per prendere il controllo del dominio Active Directory a seguito dell’infezione di un qualsiasi host all’interno della rete aziendale, ad esempio conseguentemente a campagne email malevole.

La vulnerabilità è stata inizialmente confermata da Microsoft con un bollettino di sicurezza e risolta con aggiornamenti di sicurezza di Agosto 2020, nei quali risultano afflitte le versioni:

  • Windows Server 2008 R2 
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server, version 1903 
  • Windows Server, version 1909 
  • Windows Server, version 2004 

Tuttavia, negli ultimi giorni sono stati rilasciati dettagli tecnici e gli strumenti per testare e replicare la falla, pertanto Yoroi raccomanda caldamente di verificare lo stato di aggiornamento dei Domain Controller ed assicurarsi che questa specifica patch sia installata il prima possibile.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram