Come sconfiggere la vulnerabilità “Zerologon”

Gastone Nencini di Trend Micro Italia sottolinea l’importanza del Virtual Patching per sconfiggere queste minacce

Di recente è stata resa nota una nuova vulnerabilità, Zerologon, la quale può consentire a un malintenzionato di sfruttare l’algoritmo crittografico utilizzato nel processo Netlogon di Microsoft e di impersonare l’identità di qualsiasi computer, al momento di autenticarsi con il controller di dominio.

In pratica questa vulnerabilità nel protocollo Netlogon Remote Protocol (MS-NRPC) potrebbe consentire agli aggressori di eseguire le proprie applicazioni su un dispositivo in rete. Un utente malintenzionato non autenticato utilizzerebbe il protocollo MS-NRPC per connettersi a un controller di dominio (DC) e ottenere l’accesso amministrativo.

Gastone Nencini - Country Manager di Trend Micro Italia

Gastone Nencini – Country Manager di Trend Micro Italia

«La criticità risiede nella mancanza di una soluzione completa – spiega Gastone Nencini, Country manager di Trend Micro Italia -. La patch attualmente disponibile consente ai controller di dominio di proteggere i dispositivi, ma una seconda patch, prevista al momento per il primo trimestre del 2021, rafforzerà il Remote Procedure Call (RPC) di Netlogon per risolvere completamente questo bug. Dopo aver applicato la patch, si dovranno comunque apportare modifiche al controller di dominio. Microsoft ha pubblicato delle linee guida per aiutare gli amministratori a scegliere le impostazioni di sicurezza corrette».

Come proteggersi

«Trend Micro ha messo a punto nel corso degli anni la soluzione adatta per le criticità date dalle vulnerabilità e dal ritardo o mancata applicazione delle patch: il virtual patching» spiega il country manager, che continua: «Questo sistema fornisce un ulteriore livello di sicurezza per proteggersi dalle vulnerabilità prima di applicare la patch ufficiale del vendor. Come suggerisce il nome è come una patch, perché protegge in modo specifico l’ambiente nel caso in cui qualcuno tenti di sfruttare una vulnerabilità. Le patch virtuali sono un paracadute fondamentale, che consente poi di applicare le patch nel modo più adatto per ogni azienda. Trend Micro protegge da Zerologon e da migliaia di altre vulnerabilità attraverso patch virtuali, come parte del processo di patch management».

Lo sfruttamento delle vulnerabilità sembra essere un fenomeno in crescita. Nella prima metà del 2020 la Trend Micro Zero Day Initiative (ZDI) ha pubblicato un totale di 786 avvisi di vulnerabilità, ovvero il 74% in più rispetto alla seconda metà del 2019, e con un particolare focus sui sistemi di controllo industriali.

«Grazie alla Trend Micro Zero Day Initiative (ZDI), le organizzazioni che utilizzano Trend Micro TippingPoint sono protette fino a 81 giorni prima che una patch venga rilasciata dal vendor proprietario del software vulnerabile (dato 2019). Ci si potrebbe chiedere come è possibile. È molto semplice: quando una vulnerabilità viene scoperta dalla ZDI, Trend Micro si mette subito al lavoro per mettere al sicuro i propri clienti da quella vulnerabilità ancora senza soluzione» conclude Nencini.

Autore: