Microsoft: sono iniziati gli attacchi che sfruttano la falla Zerologon

Nei giorni scorsi vi abbiamo parlato della grave falla scoperta in tutte le versioni di Windows Server e contraddistinta dall’identificativo CVE-2020-1472.
Si tratta di un problema di sicurezza che era stato (parzialmente) risolto da Microsoft con il rilascio degli aggiornamenti qualitativi di agosto 2020 ma che è prepotentemente divenuto di grande attualità per via della pubblicazione in rete del codice capace di sfruttarlo e della semplicità con cui l’attacco può essere condotto a segno.

Come abbiamo visto nell’articolo Grave falla in Windows: gli aggressori possono impadronirsi dei controller di dominio, attaccando il controller di dominio configurato su una macchina Windows Server un utente malintenzionato può di fatto assumere pieno controllo dell’intera rete, compresi tutti i dispositivi client.

È vero che la falla in questione non è direttamente utilizzabile da remoto (l’aggressore deve avere precedentemente acquisito l’accesso alla rete locale altrui) ma è tutt’altro che complesso combinarla con altre vulnerabilità sfruttabili da remoto. Lo si può fare, ad esempio, anche inducendo la vittima a eseguire un file in locale, utilizzando una vulnerabilità irrisolta nel browser, nel client di posta elettronica, in Office o servendosi di altri espedienti.

Nel corso delle ultime ore Microsoft ha pubblicato diversi tweet esortando tutti gli amministratori a installare immediatamente gli aggiornamenti correttivi tramite Windows Update e scongiurare così rischi di aggressione.

“Abbiamo già osservato diversi attacchi sulla reti aziendali e i codici exploit che sfruttano Zerologon sono stati integrati nella cassetta degli attrezzi dei criminali informatici“, ha commentato Microsoft. “Incoraggiamo gli utenti a installare subito gli aggiornamenti correttivi per la vulnerabilità CVE-2020-1472“.

In questo tweet Microsoft sono stati pubblicati gli hash SHA-1 dei binari utilizzati per aggredire gli utenti facendo leva sulle lacune Zerologon. Almeno quelli sinora individuati.
Basta portarsi su VirusTotal, cliccare sulla scheda Search quindi incollare i vari valori SHA-1 per capire quali e quanti motori antimalware riconoscono ad oggi le minacce ed in che modo vengono segnalate: VirusTotal: guida all’uso del servizio per controllare l’identità dei file.

Maggiori informazioni per gestire la problematica sono state condivise da Microsoft in questo articolo di supporto.