Windows 10 non è certo noto per essere il sistema operativo più stabile e sicuro in circolazione, ma una falla di sicurezza recentemente identificata dai ricercatori ha effetti potenzialmente ancora più devastanti. Zerologon, questo il nome ufficiale della vulnerabilità, ha la capacità di rendere del tutto inutile l’autenticazione protetta a un dominio Active Directory.
Identificata dagli esperti olandesi di Secura, Zerologon è una vulnerabilità classificata nel database delle falle CVE con la sigla CVE-2020-1472. Agendo da remoto, un malintenzionato può servirsi della falla CVE-2020-1472 per inviare un token di autenticazione verso il protocollo remoto del servizio Netlogon. Netlogon usa in maniera incorretta l’algoritmo AES-CFB8, che in teoria dovrebbe utilizzare vettori di inizializzazione casuali per ogni messaggio di autenticazione.
La falla CVE-2020-1472 prevede invece che Netlogon non rispetti in pieno i requisiti AES-CFB8, lasciando a un attaccante remoto la possibilità di inviare una serie di zero per prendere il controllo di un dominio Active Directory in poco tempo. Una volta cambiata la password di accesso scatta ovviamente il “game over” per la sicurezza della rete che fa riferimento al dominio compromesso.
La vulnerabilità CVE-2020-1472 è una delle più gravi scoperte all’interno dell’ecosistema Windows negli ultimi tempi, una situazione resa ancora più preoccupante dal fatto che risulta ora disponibile un exploit proof-of-concept in grado di sfruttare concretamente la falla.
Il problema è serio, ma la risposta di Microsoft c’è già stata: il Patch Tuesday di agosto 2020 include le patch necessarie a chiudere la falla CVE-2020-1472 in Windows. Secura ha altresì distribuito uno script in Python in grado di testare la presenza della vulnerabilità Zerologon sul sistema.