Durante il mese di Agosto, Microsoft ha rilasciato in concomitanza coi sui regolari patch mensili, anche una prima patch relativa al pericolosissimo bug scoperto su Netlogon (CVE-2020-1472).
La vulnerabilità in questione, aka zerologon, è diventata appena scoperta immediatamente celebre nel mondo della sicurezza IT, in primo luogo per il suo livello di rischio, che CVSS classifica con un 10 (su una scala di 10, ndr.).
Ad oggi però, sono ancora molti i domini Microsoft che risultano vulnerabili, e gli exploit in rete sono ormai diffusi ma sopratutto sono estremamente semplici da utilizzare: armi nucleari in mano a script kiddie per intenderci.
Per chi non avesse letto nulla a riguardo, in estrema sintesi, "zerologon" sfrutta una vulnerabilità del sistema di cifratura implementato nel protocollo MS-NRPC, il quale permette ai sistemi in dominio di dialogare in modo sicuro col il domain controller.
Attraverso questa vulnerabilità un malintenzionato può utilizzare MS-NRPC per connettersi al domain controller e ottenere un accesso amministrativo, per giunta senza particolari precondizioni o privilegi, in modo molto semplice anche da sistemi non in dominio. Attraverso tale accesso è quindi possibile eseguire codice arbitrario con massimi privilegi e quindi potenzialmente compromettere il sistema stesso e, con esso, l'intero dominio.
Tutti i domini Windows sono suscettibili a questa problematica, in quanto implementano tutti lo stesso protocollo.
Si stanno diffondendo in questi giorni le prime segnalazioni riguardanti lo sfruttamento di questa vulnerabilità "in the wild" e, immaginiamo noi, a brevissimo arriveranno anche decine di malware che faranno leva su zerologon per seminare il caos.
Ricordiamo che la prima patch, che di fatto rimuove questa vulnerabilità, è già stata pubblicata da Microsoft (LINK) ma, nonostante l'enorme rischio che comporta questa vulnerabilità, risultano ancora oggi molti i sistemi vulnerabili.
Consigliamo caldamente quindi di aggiornare immediatamente il domain controller, se già non è stato fatto. Better safe than sorry.