Se c'è mai stato un momento per riesaminare la sicurezza della vostra Active Directory, è questo.
In risposta alle crescenti preoccupazioni per la nota vulnerabilità Zerologon (CVE-2020-1472), l'agenzia statunitense per la sicurezza informatica e delle infrastrutture (CISA) ha emanato una "direttiva di emergenza" alle agenzie federali affinché applichino immediatamente la patch di Microsoft. Le imprese farebbero bene a seguire l'esempio.
"Zerologon": grave vulnerabilità nell'escalation dei privilegi
Nell'ultima settimana è emerso online il codice di exploit per la grave vulnerabilità di escalation dei privilegi denominata "Zerologon". La vulnerabilità risiede nel protocollo remoto Netlogon. Inviando una serie di messaggi Netlogon con vari campi riempiti di zeri, l'aggressore può modificare la password del controller di dominio (DC) memorizzata in AD. In effetti, l'attacco consente a qualsiasi attore di minacce sulla rete locale di elevare i propri privilegi e compromettere il dominio Windows senza alcuna credenziale utente. Con Zerologon, gli aggressori possono rubare le credenziali di amministrazione del dominio e ripristinare la password originale del controller di dominio, facilitando ogni tipo di attacco, dal ransomware al furto di dati.
Scoperto dai ricercatori di Secura, il bug ha un punteggio CVSS di 10 su 10, il più grave. Diversi exploit proof-of-concept per Zerologon sono già stati rilasciati in natura. Zerologon è stato anche reso operativo in una versione aggiornata dello strumento Mimikatz.
Hai già applicato una patch?
Con gli exploit che circolano, si fa pressione per applicare la patch il prima possibile. Questo problema viene affrontato in due parti. Ad agosto, Microsoft ha rilasciato un aggiornamento di sicurezza che modifica il protocollo Netlogon per proteggere i dispositivi Windows per impostazione predefinita, registrare gli eventi per il rilevamento di dispositivi non conformi e attivare la protezione per tutti i dispositivi collegati al dominio con eccezioni esplicite. Un secondo aggiornamento è previsto per il primo trimestre del 2021. Imporrà l'uso sicuro delle chiamate di procedura remota (RPC) per gli account macchina su sistemi non basati su Windows, a meno che non sia consentito dal "controller di dominio": Consenti connessioni vulnerabili al canale sicuro Netlogon".
Va notato che dopo la distribuzione dell'aggiornamento di agosto, i DC patchati registreranno l'evento ID 5829 nel registro eventi di sistema ogni volta che viene consentita una connessione al canale sicuro Netlogon vulnerabile. Microsoft consiglia alle organizzazioni di risolvere questi eventi prima di configurare la modalità di applicazione del DC o prima dell'aggiornamento del 2021 per evitare interruzioni. È inoltre fondamentale che tutti i DC, anche quelli di sola lettura, vengano aggiornati. Il processo di patching non è sempre facile, spesso afflitto da ritardi dovuti all'enorme numero di applicazioni e sistemi presenti negli ambienti IT e alla paura generale di interrompere le operazioni. Tuttavia, qualsiasi organizzazione che utilizza Active Directory dovrebbe iniziare a identificare i sistemi vulnerabili e dare priorità alle patch.
Preparatevi all'afflusso di nuovi attacchi che prendono di mira Active Directory
Dopo aver applicato rigorosamente le patch, è ora di riconoscere l'afflusso di nuovi attacchi che sfruttano Active Directory. Comprendete i vostri punti deboli e concentratevi sull'irrobustimento di AD. Le valutazioni delle vulnerabilità e delle configurazioni sono elementi fondamentali per alzare la posta in gioco per gli aggressori che prendono di mira l'AD. Allo stesso modo, il monitoraggio continuo delle modifiche all'AD che eludono i registri di sicurezza e l'abilitazione del rollback autonomo delle modifiche sospette che sono troppo rischiose per attendere l'intervento umano fermeranno i movimenti laterali e le minacce persistenti avanzate. Il monitoraggio automatico, la valutazione delle vulnerabilità e la correzione sono elementi fondamentali per mantenere sicuro l'ambiente AD.
In caso di disastro informatico, l'esecuzione di backup regolari e l'archiviazione di copie offline faranno la differenza tra un'interruzione breve e un tempo di inattività prolungato in caso di compromissione dell'AD. Altrimenti, i backup accessibili in rete possono essere facilmente distrutti e aumentare le possibilità di risarcimento da parte della vittima. Le organizzazioni dovrebbero sempre avere backup sufficienti per eseguire un ripristino completo della foresta. Infine, evitate i ripristini bare-metal e dello stato del sistema durante il ripristino da un cyberattacco, poiché questi approcci comportano gravi problemi di fondo, tra cui la probabile possibilità di reinfezione da parte del malware.
Come dimostra Zerologon, è ora che le aziende esaminino con attenzione la sicurezza di Active Directory. Un attaccante motivato troverà sempre un modo per entrare, in un modo o nell'altro. Non lasciate che AD sia un bersaglio facile.