ZeroLogon

ZeroLogon è il nome dato a una vulnerabilità estremamente minacciosa che è stata divulgata e corretta da Microsoft nell'agosto 2020. La vulnerabilità ha ricevuto l'identificatore CVE-2020-1472 e gli è stato assegnato il livello di gravità massimo di 10. L'exploit si avvale di algoritmi crittografici deboli utilizzati nel processo di autenticazione Netlogon. Attraverso il bug, gli attori della minaccia possono disabilitare le misure di sicurezza trovate nel processo di autenticazione di Netlogon, modificare la password per Active Directory, che è un database contenente tutti i computer collegati a un dominio e le password del controller di dominio, nonché lo spoofing l'identità di qualsiasi macchina sulla rete quando si esegue l'autenticazione per il controller di dominio.

ZeroLogon ha una limitazione enorme; pertanto, non può essere utilizzato per assumere il controllo dei server Windows dall'esterno della loro rete. Gli attori delle minacce devono prima stabilire un punto d'appoggio, ma se sono in grado di farlo, ZeroLogon consente loro di compromettere completamente il dominio Windows in pochi secondi.

ZeroLogon potrebbe essere stato corretto, ma i gruppi di hacker lo stanno ancora utilizzando nelle loro campagne di attacco. In effetti, una massiccia campagna rivolta alle aziende dei settori automobilistico, farmaceutico e ingegneristico è stata portata alla luce dai ricercatori di infosec. La campagna è stata attribuita al gruppo Cicada (APT) Advanced Persistent Threat, noto anche come APT10, Stone Panda e Cloud Hopper. Secondo il governo degli Stati Uniti, le operazioni di Cicada sono sponsorizzate dalla Cina.

Storicamente, la regione preferita del gruppo è il Giappone e la campagna appena scoperta non fa eccezione. Molti dei vecchi metodi, tecniche e procedure di Cicada sono in piena mostra in questa ultima operazione, ma esistono anche molte nuove aggiunte. Lo sfruttamento della vulnerabilità ZeroLogon non è stato visto prima da questo particolare APT. Cicada ha anche sviluppato e distribuito un nuovo filone di malware chiamato Backdoor.Hartip.

L'obiettivo della campagna è molto probabilmente il furto di dati e lo spionaggio informatico. Le informazioni esfiltrate ai server degli hacker includono documenti aziendali, informazioni sulle spese, trascrizioni di riunioni, documenti delle risorse umane, ecc.

Le organizzazioni hanno avuto diversi mesi per correggere la vulnerabilità di ZeroLogon, ma coloro che non l'hanno ancora fatto dovrebbero davvero riconsiderare le loro priorità di sicurezza informatica.