Una delle vulnerabilità di Windows a più alto impatto patchate quest’anno è ora oggetto di sfruttamento attivo da parte di hacker dannosi, ha avvertito Microsoft durante la notte, in uno sviluppo che mette sempre più sotto pressione i ritardatari per fare l’aggiornamento. Il nuovo exploit di Windows consente ad un estraneo di diventare immediatamente amministratore.
CVE-2020-1472, nonostante la vulnerabilità viene monitorata, consente agli hacker di assumere immediatamente il controllo di Active Directory, una risorsa del server Windows che funge da gatekeeper onnipotente per tutte le macchine connesse a una rete. I ricercatori hanno soprannominato la vulnerabilità Zerologon, perché consente agli aggressori con un accesso minimo a una rete vulnerabile di accedere ad Active Directory inviando una stringa di zeri nei messaggi che utilizzano il protocollo Netlogon.
La pericolosa vulnerabilità di Windows
Zerologon ha una valutazione di gravità critica da Microsoft. Nonostante il punteggio elevato, la vulnerabilità dell’escalation dei privilegi ha ricevuto scarsa, se non nessuna, attenzione quando Microsoft l’ha patchata ad agosto e Microsoft ha ritenuto che le possibilità di un effettivo sfruttamento fossero “meno probabili”.
Il mondo della sicurezza ha finalmente preso atto la scorsa settimana con il rilascio di diversi exploit proof-of-concept ed un resoconto dettagliato, che hanno dimostrato la gravità della vulnerabilità e la relativa facilità nello sfruttarla. Il rischio rappresentato da Zerologon non è solo quello di affrontare un attacco catastrofico. C’è anche la minaccia di applicare una patch che interrompe la risorsa più sensibile di una rete. Alla fine della scorsa settimana, il braccio della sicurezza informatica del Department of Homeland Security ha incaricato le agenzie di applicare la patch entro lunedì sera o di rimuovere i controller di dominio da Internet.