Bug Zerologon insidioso e da correggere al più presto. La patch è stata rilasciata da Microsoft ad agosto. I dettagli.

Microsoft ha rilasciato una patch ad agosto per correggere un bug che consentiva attacchi al protocollo Netlogon. Il colosso di Redmond ha dovuto diramare un nuovo avvertimento nel mese di settembre per una ulteriore vulnerabilità scoperta, che interessava questa volte il protocollo Netlogon Remote e l’elevazione privilegi.

Questo protocollo è utilizzato dagli amministratori per verificare l’impiego di Windows Server quale controller del dominio. A fine estate è stata scoperta una falla piuttosto grave. La gravità della situazione ha spinto la CISA (Cybersecurity and Infrastructure Security Agency) ad obbligare le agenzie governative USA all’applicazione della patch rilasciata da Microsoft per la risoluzione del bug, conosciuto con il nome CVE-2020-1472 e chiamato Zerologon. La richiesta della CISA intimava l’installazione della patch entro tre giorni dalla data del rilascio.

Zerologon si è dimostrato facilmente sfruttabile, specie da parte degli hacker più determinati. Non tutti gli amministratori avevano capito la gravità della situazione.

Il bug si presta all’esecuzioni di malware su dispositivi collegati alla rete. I Proof-of-concept del bug sono stati resi disponibili a tutti in occasione del rilascio della patch.

Per questo motivo CISA ha voluto intervenire per avvisare del potenziale pericolo a cui erano esposte le agenzie governative.

Dato che i controller di domino Windows Server sono utilizzati all’interno delle reti del governo USA, le implicazioni legate alla presenza di Zerologon potrebbero avere strascichi pesanti anche sulle elezioni presidenziali USA. Proprio per questo la minaccia è stata classificata come estremamente elevata.

Scritto da Michele Bellotti