Zerologon: la nuova falla al Netlogon (CVE-2020-1472)


Ad agosto, Microsoft ha rilasciato un patch per diverse versioni di Windows (gratuite per Windows 10 o Windows 2012 in su) per correggere una vulnerabilità che consentirebbe ad un utente malintenzionato di diventare essenzialmente amministratore di dominio facilmente. L’unica cosa che gli serve è un collegamento diretto ad un domain controller, ossia il server che nelle reti di server Windows svolgere il ruolo di gestire gli accessi centralizzati.

La vulnerabilità è possibile grazie ad un errore in uno schema di autenticazione crittografica utilizzato dal Netlogon Remote Protocol, che tra le altre cose può essere utilizzato per aggiornare le password dei computer.
Questo problema consente agli aggressori di impersonare qualsiasi computer, incluso il domain controller (DC) stesso, ed eseguire chiamate di procedura remota (RPC) per conto di un altro computer.

Già l’anno scorso si era scoperta una vulnerabilità al componente Netlogon meno grave ma ora questa seconda vulnerabilità è molto più grave (punteggio CVSS: 10.0). Creando un token di autenticazione per una specifica funzionalità di Netlogon, è stato in grado di utilizzare una funzione per modificare la password di un computer sul domain controller su un valore noto. Dopodiché, l’aggressore può utilizzare questa nuova password per assumere il controllo del domain controller e rubare le credenziali di un amministratore di dominio.

La patch rilasciata ad agosto predispone l’insieme di server all’arrivo di una nuova patch che sarà rilasciata a febbrario 2021.
Questo è stato necessario perchè una volta installata la patch di febbraio i vecchi domain controller Windows 2003 e 2008 per i quali non verrà rilasciata nessuna patch non potranno più comunicare con domain controller patchati.

Linux è affetto?

Ora veniamo a Linux, i tool di configurazione di Samba supportano canali sicuri tra i membri del dominio e i domain controller.
Tuttavia, il comportamento predefinito per il server schannel (secure channel) prima di Samba 4.8 era di negoziare automaticamente il canale sicuro solo se un client lo supportava.
Dalla versione 4.8, il comportamento predefinito di Samba è stato quello di preferire un canale sicuro per tutti i client (come se ci fosse “server schannel = yes” nel file smb.conf), il che è una soluzione sufficiente contro gli exploit noti che sfruttano la vulnerabilità CVE-2020-1472.

La richiesta di un canale sicuro potrebbe rendere inutilizzabili alcune vecchie applicazioni scrite per vecchie versioni di Active Directory (domini NT4).
Per questo motivo, la mitigazione di Microsoft per CVE-2020-1472 non disabilita immediatamente l’accesso non autenticato al servizio di netlogon.

Red Hat non è a conoscenza di applicazioni specifiche che richiedono l’uso di un canale non autenticato per il servizio di netlogon.
Tutti i componenti Samba in tutte le versioni di Red Hat Enterprise Linux (RHEL) supportano il funzionamento con schannel e continueranno a funzionare quando i futuri aggiornamenti di Microsoft disabiliteranno del tutto il supporto del canale non autenticato.

In Red Hat Enterprise Linux 6 le configurazioni predefinite dei pacchetti samba e samba4 forniti con il sistema sono vulnerabili in quanto non impongono la creazione di canali sicuri per tutte le connessioni client al servizio netlogon. La vulnerabilità può essere mitigata mettendo “server schannel = yes” nella sezione [global] del file smb.conf e riavvia Samba su tutti i DC.

Tuttavia , si può usare testparm per verificare che la configurazione di Samba sia in esecuzione in modalità domain controller oppure standalone (ossia membro di dominio) e quale impostazione “server schannel” viene utilizzata.

testparm -v -s | grep schannel

Se nell’output del comando compare “Server role: ROLE_DOMAIN_PDC” oppure “Server role: ROLE_DOMAIN_BDC” il server agisce come domain controller.
Nelle righe successive dell’output è riportato se è attivato o meno il secure channel (schannel).

Qui è installato Samba 4.7, questo server è vulnerabile.

Anche SuSE Linux è affetta dalla problematica per le versioni di Samba precedenti alla 4.8, anche qui il suggerimento per mitigare la falla è quello di inserire lo stesso parametro visto per RHEL: “server schannel = yes” nel file smb.conf e riavviare il servizio con un “sudo service smb restart”. Il supporto di SUSE riporta sono state correzioni e aggiornamenti a tutte le versioni supportate e interessate al problema.

Cancellare una partizione di ripristino

La partizione di ripristino è una partizione dedicata sul disco rigido o SSD del PC utilizzabile per ripristinare o reinstallare il sistema operativo in caso di errore del sistema.
Sebbene l’eliminazione della partizione di ripristino non sia difficile, è importante cancellarla in modo sicuro per evitare problemi in seguito.
Windows 10 non consente di eliminare la partizione di ripristino esistente. Se si usa lo strumento gestione del computer, si può notare come non sia possibile cancellare la partizione.

Per maggiori informazioni su recupero file cancellati o creazione di una partizione di ripristino, vi consiglio questo sito: https://www.recupero-file.info/

Per cancellare la partizione invece, si può ricorrere ad un altro strumento: Diskpart.

Per lanciare Diskpart, cercare “cmd” nella barra delle ricerche di Windows.
Aprire il programma come amministratore.
Digitare diskpart e seguire i comandi come nell’esempio:
“list vol” mostra i dischi e unità collegati al proprio PC. Nel caso dell’esempio ci sono 5 dispositivi fra cui un masterizzatore DVD e altre partizioni. Il disco che possiede la partizione di ripristino da cancellare è il volume 4.

C:\>diskpart

Microsoft DiskPart versione 10.0.17134.1

Copyright (C) Microsoft Corporation.
Nel computer DESKTOP-OIEA4CT

DISKPART> list vol

  Volume ###  Let. Etichetta    Fs     Tipo        Dim.     Stato      Info
  ---------   ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     E                       DVD-ROM         0 b  Nessun su
  Volume 1         Riservato p  NTFS   Partizione   549 Mb  Integro    Sistema
  Volume 2     C                NTFS   Partizione   118 Gb  Integro    Avvio
  Volume 3     F   VideoVHS     NTFS   Partizione   465 Gb  Integro
  Volume 4     D   Volume       NTFS   Partizione   461 Gb  Integro

Selezionare quindi il volume 4

DISKPART> select vol 4

Il volume attualmente selezionato è il volume 4.

Per assicurarsi che la partizione da rimuovere sia proprio sul volume quattro, lanciare “list part” che mostra l’elenco delle partizioni.

DISKPART> list part

  Partizione ###   Tipo              Dim.     Offset
  ---------------  ----------------  -------  -------
* Partizione 1    Primario           461 Gb  1024 Kb
  Partizione 3    Ripristino        4765 Mb   461 Gb

La partizione di ripristino riporta “Ripristino” come tipo. Il numero associato è il 3.
Quindi digitiamo “select part 3” e poi lanciamo la cancellazione della partizione con l’opzione override.

DISKPART> select part 3

La partizione attualmente selezionata è la partizione 3.


DISKPART> DELETE PARTITION OVERRIDE

Eliminazione della partizione selezionata completata.

Usciamo da Diskpart col comando exit.

 DISKPART> exit

VirtualBox 4


Sono passati diversi mesi dalla pubblicazione della quarta versione di VirtualBox. I lettori affezionati di questo blog avranno avuto modo di notare quali sono state le caratteristiche aggiunte al software negli scorsi anni.

La prima guida pubblicata descriveva come installare VirtualBox 1.6, ora vediamo come installare VirtualBox 4.1.6 su Windows e le nuove guest addition che hanno cambiato nome in VirtualBox Extension Pack. Continua a leggere

VirtualBox Guest Additions su Windows 7


VirtualBox Guest Additions Le VirtualBox Guest Addition permettono di migliorare sensibilmente le prestazioni di una macchina virtuale aggiungendo tra l’altro dei driver per l’interfaccia di rete e per la scheda grafica. Consentono anche di condividere una cartella fra il sistema operativo host (quello installato sull’hardware) e il sistema guest (quello all’interno della macchina virtuale).

Windows 7

Questi strumenti possono essere installati anche su Windows 7. Tuttavia è necessario disporre di una versione aggiornata di VirtualBox e delle sue Guest Additions.

Continua a leggere

Sniffare le password wireless


phpTpDLhYA volte ci si preoccupa poco della protezione dei propri dati personali, una delle minacce più insidiose è il furto delle credenziali di accesso a un servizio. Se un malintenzionato riesce a rubare la coppia username e password può facilmente accedere agli account sui siti Internet, questo è particolarmente pericoloso quando si accede ad Internet usando una connessione wifi (wireless) non protetta. Come fanno i cracker a ottenere tali informazioni?

Continua a leggere

Wine HQ


wine hqWine è un programma che consente di eseguire applicazioni create per Windows e DOS su GNU/Linux.
Spesso non è necessario creare una virtual machine e installarvi Windows per poter adoperare un programma disponibile solo per i sistemi operativi Microsoft, si può ricorrere a “Wine is Not an Emulator” (nome esteso di Wine).

Continua a leggere