Ultimo aggiornamento articolo il 30/06/2020
Con il rilascio dei Windows update del 10 Marzo, Microsoft ha aggiornato l’avviso di sicurezza precisando che:
The March 10, 2020 and updates in the foreseeable future will not make changes to LDAP signing or LDAP channel binding policies or their registry equivalent on new or existing domain controllers.
Questo significa che l’aggiornamento impattante previsto dapprima per marzo e successivamente per la seconda metà del 2020, potrebbe non essere rilasciato; l’invito a sanare la vulnerabilità è però, invariato e fortemente consigliato.
Se ancora non effettuato, invitiamo tutti a prendere visione del bollettino di sicurezza Microsoft ed effettuare un’analisi puntuale delle modalità di binding e signing LDAP dei propri sistemi di identity (servizio ADDS e DCs) per verificare se e quali sistemi o applicazioni “prestano il fianco” a questi possibili ed impattanti problemi di sicurezza.
Il team SoftJam in questi mesi, ha predisposto e verificato sul campo un piano di attività per accompagnare i clienti in queste attività di analisi e remediation per affrontare in serenità e senza disservizi queste importanti modifiche infrastrutturali.
Aggiornamento articolo del 07/02/2020
Microsoft ha pubblicato un avviso nel quale anticipa che a marzo 2020 nella seconda metà del 2020 rilascerà degli aggiornamenti che impatteranno fortemente il sistema di Microsoft Identity Management: renderanno obbligatorio il binding di LDAP over SSL /TLS e la firma LDAP come requisito predefinito quando si effettua una connessione a Microsoft Active Directory.
Microsoft nel bollettino CVE-2017-8563 rilasciato nel luglio 2017, scrive:
“An elevation of privilege vulnerability exists in Microsoft Windows when a man-in-the-middle attacker is able to successfully forward an authentication request to a Windows LDAP server, such as a system running Active Directory Domain Services (AD DS) or Active Directory Lightweight Directory Services (AD LDS), which has been configured to require signing or sealing on incoming connections.
The update addresses this vulnerability by incorporating support for Extended Protection for Authentication security feature, which allows the LDAP server to detect and block such forwarded authentication requests once enabled.”
Con questo, Microsoft dichiara di essere al corrente dell’esistenza di una vulnerabilità nei propri sistemi server Microsoft Windows. In particolare, nelle impostazioni predefinite del binding di canale e della firma LDAP è presente una vulnerabilità che può esporre i controller di dominio Microsoft Active Directory a problemi di sicurezza relativi all’elevazione dei privilegi. L’autore di un attacco malevolo (come ad esempio un man-in-the-middle attack) sarebbe così in grado di inoltrare una richiesta di autenticazione ad un server LDAP Windows (server Domain Controller di Active Directory) pur non avendone l’autorizzazione, con i relativi rischi che ne conseguono.
Tutto ciò premesso, l’aggiornamento risulta assolutamente necessario. Una volta installato tale security fix, qualsiasi sistema o applicazione configurati per effettuare una connessione LDAP senza l’utilizzo di un canale SSL/TLS non riuscirà più a connettersi ai server Windows di Active Directory. La chiusura della vulnerabilità porterà un beneficio ma ovviamente, se non opportunamente configurati, impedirà e bloccherà tutte le richieste di autenticazione in chiaro effettuate da apparati e/o applicazioni verso i controller di dominio, con conseguenze impredicibili per i propri sistemi di produzione.
Il team SoftJam, per permettere ai propri clienti di affrontare in serenità e senza disservizi questo critico ed imminente passaggio, ha ideato in base alle indicazioni Microsoft un’efficace metodologia di analisi e remediation.
Innanzitutto, si andrà a verificare lo stato attuale delle configurazioni lato server Windows, la presenza o meno di una Certification Authority che sfrutti algoritmi di cifratura aggiornati per poi constatare quali siano i dispostivi e le applicazioni che saranno impattati da questo security fix Microsoft. Una volta verificate le opportune attività di bonifica e configurazioni da effettuarsi, sarà possibile avviare la fase operativa di implementazione per poter innalzare il livello di sicurezza infrastrutturale indicato dalle best practice Microsoft senza però, subire disservizi o malfunzionamenti.
Nonostante il bollettino risalga a luglio 2017 e la vulnerabilità sia nota a tutti, non è detto che siano state messe in atto le dovute contromisure. Microsoft pertanto, ha deciso di rilasciare la security fix via Windows Update il prossimo marzo nella seconda metà del 2020. Abbiamo ancora un po’ di tempo per adeguare i nostri sistemi ed arrivare preparati al giorno di rilascio.