Come proteggersi da Zerologon e vulnerabilità simili

Per fermare tutte le minacce all’infrastruttura aziendale, bisogna fare di più che proteggere le workstation.

Lo scorso settembre, la US Cybersecurity and Infrastructure Security Agency (CISA), che raramente emette direttive su specifiche vulnerabilità, ha istruito le agenzie governative che usano Microsoft Windows Active Directory nelle loro reti ad applicare immediatamente una patch a tutti i controller di dominio. La questione riguardava la vulnerabilità CVE-2020-1472 nel protocollo Netlogon, soprannominato Zerologon.

Punteggio di 10.0 in livello di pericolosità

La vulnerabilità Zerologon deriva da un algoritmo di cifratura inaffidabile nel meccanismo di autenticazione Netlogon. Permette a un intruso che si è connesso alla rete aziendale o ha infettato un computer sulla stessa di attaccare, e infine prendere il controllo, di un controller di dominio.

La vulnerabilità raggiunge il valore massimo della scala CVSSv3, ovvero 10.0. Microsoft ha rilasciato una patch nel mese di agosto, ma è stato uno studio approfondito dalla società di cybersicurezza olandese Secura che ha attirato l’attenzione su Zerologon e su come può essere sfruttata. Entro poche ore dall’uscita del documento, i ricercatori hanno iniziato a pubblicare le loro proof of concept (PoC). In pochi giorni, almeno quattro campioni di codice open-source erano disponibili su GitHub, dimostrando come la vulnerabilità potrebbe essere effettivamente utilizzata.

Zerologon negli attacchi reali

Naturalmente, le PoC pubblicamente disponibili hanno attirato l’attenzione non solo degli esperti di sicurezza informatica, ma anche dei cybercriminali, che hanno solo dovuto copiare e incollare il codice nel loro malware. Ad esempio, agli inizi di ottobre, Microsoft ha segnalato i tentativi del gruppo TA505 di sfruttare Zerologon. I criminali informatici hanno fatto passare il malware come un aggiornamento software e hanno compilato strumenti di attacco sui computer infetti per sfruttare la vulnerabilità.

Un altro gruppo, autore del ransomware Ryuk, ha usato Zerologon per infettare l’intera rete locale di un’azienda in sole cinque ore. Dopo aver inviato a un dipendente una e-mail di phishing standard, il gruppo ha aspettato che venisse aperta e che il computer venisse infettato, e poi ha usato Zerologon per muoversi lateralmente attraverso la rete, distribuendo un ransomware eseguibile in tutti i server e le workstation.

Perché Zerologon è una vulnerabilità pericolosa

Potrebbe sembrare che sfruttare Zerologon richieda un attacco a un controller di dominio dall’interno della rete locale. In realtà, però, i criminali informatici sono stati a lungo in grado di superare questo ostacolo utilizzando vari metodi per hackerare un computer nella rete. Questi includono l’uso di phishing, attacchi alla supply chain e persino prese di corrente non sorvegliate nelle aree degli uffici per i visitatori. Un ulteriore pericolo viene dalle connessioni remote (che quasi tutte le aziende usano al giorno d’oggi), specialmente se i dipendenti sono in grado di connettersi alle risorse aziendali dai propri dispositivi.

Il problema principale di Zerologon (e di altre ipotetiche vulnerabilità di questo tipo) è che il suo sfruttamento appare come uno scambio di dati standard tra un computer della rete e un controller di dominio; solo l’intensità insolita dello scambio desterà sospetti. Per questo motivo, le aziende che si affidano esclusivamente a soluzioni di sicurezza per endpoint hanno poche possibilità di rilevare tali attacchi.

Il compito di gestire anomalie di questo tipo è meglio lasciarlo a servizi specializzati come Kaspersky Managed Detection and Response (MDR). Si tratta infatti di un SOC esterno con una conoscenza approfondita delle tattiche dei criminali informatici, che fornisce raccomandazioni pratiche dettagliate al cliente.

La soluzione ha due livelli: MDR optimum e MDR expert. Non appena sono stati pubblicati i dettagli di Zerologon, gli esperti di Kaspersky SOC hanno iniziato a tracciare i tentativi di sfruttamento della vulnerabilità all’interno del servizio MDR, garantendo che entrambe le versioni di Kaspersky Managed Detection and Response possano combattere questa minaccia.

Kaspersky Managed Detection and Response fa parte di Kaspersky Optimum Security. Per saperne di più sulla soluzione, consultate la pagina Kaspersky MDR.

Consigli