Rilevamento dell’Attacco Zerologon (CVE-2020-1472)
Indice:
Dopo un luglio molto caldo, particolarmente fruttuoso per le vulnerabilità critiche (1, 2, 3), il Patch Tuesday di Microsoft ad agosto è stato relativamente tranquillo. Sì, ancora una volta sono state corrette più di un centinaio di vulnerabilità, sì, 17 difetti sono stati valutati come Critici, e Microsoft non ha indicato bug del livello “Siamo Tutti Condannati”. Anche se allora i ricercatori di sicurezza hanno attirato l’attenzione sull’attacco Zerologon, la grave vulnerabilità di elevazione dei privilegi (CVE-2020-1472) che consente agli attaccanti di abusare del Netlogon Remote Protocol e ottenere l’accesso come amministratore a un controller di dominio.
Vulnerabilità di Zerologon
Fondamentalmente, il CVE-2020-1472 scoperto (punteggio CVSS: 10.0) ha dato modo ai truffatori di prendere il controllo dell’account Domain Administrator acquisito. La vulnerabilità è stata assegnata la massima valutazione di gravità dal Common Vulnerability Scoring System poiché ci sono exploit POC attuabili e sono attese attività dannose connesse allo sfruttamento del CVE-2020-1472 con un alto grado di probabilità.
La vulnerabilità CVE-2020-1472 è direttamente correlata all’algoritmo crittografico utilizzato nel Netlogon Remote Protocol. La vulnerabilità ha ricevuto il suo nome a causa della specificità dello sfruttamento quando la variabile iniziale, o vettore di inizializzazione, è impostata a zero invece che a numeri casuali.
Dettagli Tecnici sull’attacco Zerologon
Oggi l’azienda di sicurezza Secura ha pubblicato i dettagli tecnici dietro il difetto critico Zerologon, e le prove della facilità di sfruttamento della vulnerabilità CVE-2020-1472 hanno già iniziato a riversarsi. Zerologon consente a un hacker di prendere il controllo del controller di dominio vittimizzato. Per stabilire una sessione TCP con un controller di dominio, gli hacker sono tipicamente all’interno della rete avendo accesso fisico alle attrezzature, o hanno un punto di appoggio dall’esterno della rete. Innanzitutto, i truffatori devono falsificare le credenziali di un computer nelle reti dell’azienda, il che è possibile in meno di 256 tentativi a causa del cattivo Vettore di Inizializzazione del Netlogon Remote Protocol. Successivamente, gli hacker disabiliterebbero il meccanismo di trasporto crittografico all’interno di MS-NRPC per liberare la strada per le loro ulteriori azioni – cambiare la password per l’account che è stato inizialmente utilizzato per entrare nel sistema in modo che il computer non possa accedere.
Aggiornamento di sicurezza e mitigazione del CVE-2020-1472
Microsoft prevede di risolvere il problema di sicurezza in due fasi, modificando radicalmente la connessione dei dispositivi all’interno delle reti aziendali.
La prima, la Fase di Distribuzione Iniziale, è iniziata l’11 agosto 2020. Durera fino al Q1 2020 e durante questo periodo verranno rilasciati aggiornamenti. Per avvisare gli amministratori sui collegamenti vulnerabili di Netlogon associati al CVE-2020-1472, Microsoft ha aggiunto nuovi EventID, insieme agli aggiornamenti per le versioni interessate di Windows Server. Tra questi, l’EventID 5829 è stato aggiunto per informare sui collegamenti vulnerabili di Netlogon.
Nella fase due – la Fase di Applicazione – che è prevista per iniziare il 9 febbraio 2021, con gli aggiornamenti installati, i Controller di Dominio negheranno le connessioni vulnerabili da dispositivi che utilizzano connessioni sicure Netlogon vulnerabili, ad eccezione di quelle consentite dalle policy di gruppo.
Dettagli tecnici e rilevamento dell’attacco Zerologon
Ora i criminali informatici che hanno compromesso un sistema sulla rete di un’organizzazione possono ottenere quasi istantaneamente l’accesso a un controller di dominio. Botnet come Emotet or TrickBot, che forniscono accesso a sistemi infetti ad altri gruppi, diventeranno ancora più pericolosi e il tempo che le bande di ransomware impiegano dal momento in cui si infiltrano nella rete fino a quando iniziano a crittografare i file sarà significativamente ridotto.
Installa l’aggiornamento di sicurezza il prima possibile se non lo hai già fatto. Consigliamo anche di scaricare e distribuire le regole della comunità di Adam Swan, il nostro ingegnere senior di ricerca delle minacce per rilevare attacchi Zerologon: https://tdm.socprime.com/tdm/info/FgNYLnTxIVrs/7WbXfnQBSh4W_EKGaxL5/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ELK Stack, RSA NetWitness, Splunk, LogPoint, Humio
NTA: Corelight
MITRE ATT&CK:
Tattiche: Movimento Laterale
Tecniche: Sfruttamento di Servizi Remoti (T1210)
Nuove regole per il rilevamento degli attacchi Zerologon (vulnerabilità CVE-2020-1472) vengono pubblicate presso SOC Prime Threat Detection Marketplace.
Connessione Sicura Netlogon Vulnerabile Consentita da NVISO https://tdm.socprime.com/tdm/info/S4U7tNVmkwFr/Jp2DknQBPeJ4_8xcsU3h/?p=1
Utente Anonimo Ha Cambiato la Password della Macchina di Adam Swan, Team SOC Prime https://tdm.socprime.com/tdm/info/EPl2OKBmxbJ6/fHN5k3QBSh4W_EKG8VJB/?p=1#
Pronto a provare SOC Prime TDM? Iscriviti gratuitamente. Oppure unisciti al Threat Bounty Program per creare i tuoi contenuti e condividerli con la comunità TDM.
