Scoperta di recente la nuova vulnerabilità Zerologon che può mettere a rischio gli accessi amministrativi. L’importanza del Virtual Patching. Analizza problemi e soluzioni Gastone Nencini, Country Manager Trend Micro Italia. Recentemente è stata scoperta una nuova vulnerabilità che ha guadagnato molto spazio sui media: Zerologon. Questa vulnerabilità può consentire a un malintenzionato di sfruttare l’algoritmo crittografico utilizzato nel processo Netlogon di Microsoft.
E di impersonare l’identità di qualsiasi computer, al momento di autenticarsi con il controller di dominio. In parole più semplici, questa vulnerabilità nel protocollo Netlogon Remote Protocol (MS-NRPC) potrebbe consentire agli aggressori di eseguire le proprie applicazioni su un dispositivo in rete. Un utente malintenzionato non autenticato utilizzerebbe il protocollo MS-NRPC per connettersi a un controller di dominio (DC) e ottenere l’accesso amministrativo.
La vulnerabilità Zerologon
La criticità risiede nella mancanza di una soluzione completa. La patch attualmente disponibile consente ai controller di dominio di proteggere i dispositive. Ma una seconda patch, prevista al momento per il primo trimestre del 2021, rafforzerà il Remote Procedure Call (RPC) di Netlogon per risolvere completamente questo bug. Dopo aver applicato la patch, si dovranno comunque apportare modifiche al controller di dominio. Microsoft ha pubblicato delle linee guida per aiutare gli amministratori a scegliere le impostazioni di sicurezza corrette.
Se esiste una patch, qual è il problema?
Si potrebbe pensare che nel momento in cui esiste una patch questo non sia un problema reale, ma l’idea di risolvere tutto con una patch non è così semplice come sembra. Il tempo medio per creare una patch è compreso tra 60 e 150 giorni. Questa vulnerabilità è stata pubblicata all’inizio di agosto, quindi il tempo medio per l’implementazione della patch è compreso tra ottobre 2020 e gennaio 2021. Nel mercato della security si scherza sul fatto che dopo il Patch Tuesday arrivi l’Exploit Wednesday.
Questo perché dopo che le patch relative alle ultime vulnerabilità vengono rilasciate il primo martedì di ogni mese, da Microsoft e Adobe, i cybercriminali si mettono al lavoro per invertirle e per scrivere exploit che sfruttino il bug prima che le patch vengano applicate. Considerando Il tempo medio per creare una patch, le aziende rimangono esposte a una minaccia conosciuta fino a 5 mesi.
Come proteggere la propria organizzazione?
Trend Micro ha messo a punto nel corso degli anni la soluzione perfetta per le criticità date dalle vulnerabilità e dal ritardo o mancata applicazione delle patch: il virtual patching. Questo sistema fornisce un ulteriore livello di sicurezza per proteggersi dalle vulnerabilità prima di applicare la patch ufficiale del vendor. Come suggerisce il nome è come una patch, perché protegge in modo specifico l’ambiente nel caso in cui qualcuno tenti di sfruttare una vulnerabilità.
La vulnerabilità Zerologon
Le patch virtuali sono un paracadute fondamentale, che consente poi di applicare le patch nel modo più adatto per ogni azienda. Trend Micro protegge da Zerologon e da migliaia di altre vulnerabilità attraverso patch virtuali, come parte del processo di patch management. Lo sfruttamento delle vulnerabilità è un fenomeno in crescita. Considerando anche che nella prima metà del 2020 la Trend Micro Zero Day Initiative (ZDI) ha pubblicato un totale di 786 avvisi di vulnerabilità, ovvero il 74% in più rispetto alla seconda metà del 2019, e con un particolare focus sui sistemi di controllo industriali. Ecco perché proteggersi è fondamentale.
Grazie alla Trend Micro Zero Day Initiative (ZDI), le organizzazioni che utilizzano Trend Micro TippingPoint sono protette fino a 81 giorni prima che una patch venga rilasciata dal vendor proprietario del software vulnerabile (dato 2019). Ci si potrebbe chiedere come è possibile. È molto semplice: quando una vulnerabilità viene scoperta dalla ZDI, Trend Micro si mette subito al lavoro per mettere al sicuro i propri clienti da quella vulnerabilità ancora senza soluzione.nI clienti Trend Micro possono beneficiare della tecnologia di virtual patching sugli ambienti protetti dalle soluzioni di Trend Micro ApexOne, Deep Security, Cloud One – Workload Security e Tipping Point.