Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Set 24, 2020 Marco Schiaffino Attacchi, In evidenza, News, RSS, Vulnerabilità 0
I primi avvisi erano arrivati dal CISA (Cybersecurity and Infrastructure Security Agency), che ha sollecitato tutte le agenzie federali negli USA a proteggere i sistemi da Zerologon entro la giornata di ieri, 23 settembre. Ora scende in campo Microsoft, specificando che la vulnerabilità è usata da numerosi gruppi di pirati informatici per portare attacchi a sistemi aziendali.
Zerologon (CVE-2020-1472) è una falla di sicurezza individuata da Secura e resa pubblica lo scorso 11 settembre con la pubblicazione di un report sul blog della società di sicurezza.
Il bug affligge il sistema di autenticazione Microsoft Netlogon e consente, in pratica, di ottenere l’accesso con credenziali di amministratore all’interno di un dominio Active Directory, prendendone di fatto il controllo.
Come si legge nel report, il problema è dovuto alle modalità di implementazione del sistema crittografico AES-128-CFB8. L’algoritmo, infatti, è stato utilizzato in una versione semplificata, in cui il vettori di inizializzazione (IV) è pari a zero.
La conseguenza di questa scelta (per i dettagli è possibile leggere anche una corposa spiegazione pubblicata da Sophos a questo indirizzo) è che un pirata informatico può “ingannare” Netlogon semplicemente inviando una richiesta di collegamento in cui i dati per la creazione della chiave crittografica è composta da soli zero.
A causa delle impostazioni di AES-128-CFB8 in Netlogon, infatti, la Netlogon Credential Computation (che permette l’autenticazione) sarà composta di soli zero con una probabilità di una volta su 256. Abbastanza per avviare un attacco di brute forcing “sui generis” che permette di ottenere l’accesso come amministratore.
L’aggiornamento che corregge la vulnerabilità è stato distribuito da Microsoft con la tornata di update dello scorso agosto, ma l’abituale inerzia nell’esecuzione delle operazioni di patch (soprattutto a livello aziendale) lascia pensare che molti sistemi siano ancora vulnerabili.
Le preoccupazioni, però, derivano dal fatto che su Internet sono comparsi nel giro di pochi giorni numerosi PoC (Proof of Concept) che permettono di sfruttare la falla di sicurezza in maniera piuttosto elementare.
L’allarme lanciato da Microsoft, quindi, rappresenta la ciliegina sulla torta e conferma che gruppi di cyber criminali stanno attivamente utilizzando gli exploit. Inutile dirlo, il (caloroso) suggerimento è di aggiornare subito.
Apr 17, 2024 0
Apr 11, 2024 0
Apr 10, 2024 0
Feb 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...