Un team di esperti di cybersecurity ha individuato una pericolosa falla all’interno di Windows 10: il bug prende il nome di Zerologon e sembrerebbe essere uno dei peggiori mai segnalati all’azienda.
Falla nel processo di autenticazione di Netlogon
La vulnerabilità di Windows ha ottenuto il punteggio CVSSv3 10/10 come massimo livello di gravità, comportando un’”elevazione di privilegi” su Netlogon (il protocollo che autentica gli utenti rispetto ai controller di dominio).
Si tratta degli unici dati rilasciati da Microsoft: né gli utenti né tantomeno gli admin IT erano a conoscenza delle caratteristiche e della portata di un errore che avrebbe potuto potenzialmente concedere l’accesso a qualsiasi sistema Windows Server.
Le informazioni aggiuntive sono state carpite da Secura, un gruppo di ricercatori olandesi, che ha redatto un rapporto tecnico all’interno del quale viene approfondita la natura del bug, inquadrando una problematica che si basa sulla debolezza dell’algoritmo crittografato utilizzato nel processo di autenticazione di Netlogon. In particolare, la falla potrebbe consentire ad un aggressore virtuale di manipolare e controllare tale procedura semplicemente aggiungendo una serie di “0” all’interno di alcuni parametri (da qui il nome). Il criminale informatico, di conseguenza, potrebbe:
- Fingere di essere una qualsiasi macchina presente all’interno della rete;
- Disabilitare i sistemi di sicurezza che proteggono l’autenticazione;
- Modificare la password di accesso di un computer sul controller di dominio Active Directory.
Il piano di risanamento di Microsoft e le accortezze in tema di sicurezza informatica
La pericolosità del bug è elevatissima, non solo in ragione del fatto che la durata di un attacco può essere di pochi secondi, ma anche perché è evidente che Zerologon concede agli hacker ampio spazio di manovra: gli aggressori hanno la possibilità di prendere il controllo di un’intera rete aziendale, nonché di comprometterla infettandola con malware e ransomware. Ciononostante, la vulnerabilità presenta una limitazione particolarmente significativa: non può essere sfruttata per aggredire le reti se non si è già collegati con le stesse. Inoltre, è già stato impostato un piano di risanamento che prevede due fasi:
- La prima, completata in occasione del Patch Tuesday di agosto, ha applicato il primo fix temporaneo (fix CVE-2020-1472), che rende obbligatori, per l’accesso a tutte le reti, quei sistemi si sicurezza di Netlogon che l’attacco va ad insidiare;
- La seconda è prevista per febbraio 2021. Secondo Microsoft, quest’ultimo passaggio dovrebbe impedire definitivamente l’autenticazione su alcuni dispositivi.
Rimane indubbio, tuttavia, che Zerologon rappresenta un rischio enorme per le realtà aziendali, in quanto potrebbe essere facilmente sfruttato da cyber criminali o enti malevoli. Per tale ragione, è doveroso adottare tutte le accortezze in tema di sicurezza informatica, come l’aggiornamento periodico di tutti i dispositivi e l’utilizzo di strumenti come lo script Python offerto da Secura per verificare la protezione delle infrastrutture.