{"id":20809,"date":"2020-03-12T14:14:41","date_gmt":"2020-03-12T12:14:41","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=20809"},"modified":"2020-11-12T20:02:06","modified_gmt":"2020-11-12T18:02:06","slug":"smb-311-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/smb-311-vulnerability\/20809\/","title":{"rendered":"CVE-2020-0796: nuova vulnerabilit\u00e0 nel protocollo SMB"},"content":{"rendered":"<p><strong>Aggiornamento del 12 marzo<\/strong><\/p>\n<p>\u00c8 emersa da poco un <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/adv200005\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">avviso riguardo una vulnerabilit\u00e0 RCE dal nome CVE-2020-0796<\/a> che interessa i sistemi operativi Windows 10 e Windows Server e che riguarda il protocollo Microsoft Server Message Block 3.1.1 (SMBv3). Secondo Microsoft, un cybercriminale potrebbe sfruttare questa <strong>vulnerabilit\u00e0 <\/strong>per eseguire un codice arbitrario sia sul server SMB, sia sul client SMB. Per attaccare il server, solo basta inviarvi un pacchetto creato ad hoc. Per quanto riguarda il client, i cybercriminali devono configurare un <strong>server SMBv3 dannoso<\/strong> e persuadere l\u2019utente a connettervisi.<\/p>\n<p>Gli <strong>esperti in cybersecurity<\/strong> ritengono che la vulnerabilit\u00e0 possa essere utilizzata per diffondere un worm simile a <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/wannacry-is-still-alive\/16648\/\" target=\"_blank\" rel=\"noopener\">WannaCry<\/a><\/strong>. Per Microsoft si tratta di una vulnerabilit\u00e0 grave, da risolvere il prima possibile.<\/p>\n<h2><strong>Chi \u00e8 in pericolo per via di questa vulnerabilit\u00e0?<\/strong><\/h2>\n<p>Il protocollo di rete SMB serve per l\u2019accesso remoto a file, stampanti e altre risorse di rete. Viene utilizzato per implementare le funzionalit\u00e0 Microsoft Windows Network e Condivisione File e Stampanti. Se la vostra azienda utilizza queste funzionalit\u00e0, avete motivi per preoccuparvi di questa <strong>nuova vulnerabilit\u00e0 in Microsoft<\/strong>.<\/p>\n<p>Microsoft Server Message Block 3.1.1 \u00e8 un protocollo relativamente recente, utilizzato solo su sistemi operativi nuovi:<\/p>\n<ul>\n<li>Windows 10 Version 1903 per sistemi a 32-bit<\/li>\n<li>Windows 10 Version 1903 per sistemi ARM64-based<\/li>\n<li>Windows 10 Version 1903 per sistemi x64-based<\/li>\n<li>Windows 10 Version 1909 per sistemi a 32-bit Systems<\/li>\n<li>Windows 10 Version 1909 pers sistemi ARM64-based<\/li>\n<li>Windows 10 Version 1909 per sistemi x64-based<\/li>\n<li>Windows Server, versione 1903 (installazione Server Core)<\/li>\n<li>Windows Server, versione 1909 (installazione Server Core)<\/li>\n<\/ul>\n<p>La <strong>vulnerabilit\u00e0 nel protocollo SMB<\/strong> non riguarda Windows 7, 8, 8.1 o versioni precedenti. Tuttavia, la maggior parte dei computer moderni con installazione automatica degli aggiornamenti funziona utilizzando Windows 10 per cui \u00e8 probabile che molti computer, aziendali o di uso privato, possano essere soggetti alla vulnerabilit\u00e0.<\/p>\n<h2><strong>I cybercriminali stanno sfruttano la vulnerabilit\u00e0 CVE-2020-0796?<\/strong><\/h2>\n<p>Secondo Microsoft, la <strong>vulnerabilit\u00e0 CVE-2020-0796<\/strong> non \u00e8 stata ancora utilizzata per perpetrare attacchi, o per lo meno non sono ancora stati trovati. Il problema \u00e8 che non esiste ancora una patch per la vulnerabilit\u00e0 CVE-2020-0796 e la notizia \u00e8 di pubblico dominio dal 10 marzo scorso, per cui potrebbero apparire exploit in qualsiasi momento (se non sono gi\u00e0 in circolazione).<\/p>\n<h2><strong>Cosa fare?<\/strong><\/h2>\n<p>Aggiornamento del 12 marzo: Microsoft ha rilasciato un aggiornamento di sicurezza per questa vulnerabilit\u00e0. <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-0796\" target=\"_blank\" rel=\"noopener nofollow\">\u00c8 possibile scaricarlo qui.<\/a><\/p>\n<p>Nel caso non si potesse installare la patch, \u00e8 necessario chiudere la vulnerabilit\u00e0, il che richiede un certo lavoro da parte dell\u2019utente. Microsoft suggerisce di fare quanto segue per evitare che qualcuno possa sfruttare questa vulnerabilit\u00e0.<\/p>\n<h3>Per i server SMB:<\/h3>\n<ul>\n<li>Potete bloccare la possibilit\u00e0 di sfruttare la vulnerabilit\u00e0 utilizzando un comando PowerShell:<\/li>\n<\/ul>\n<p><strong>Set-ItemProperty -Path \u201cHKLM:\\SYSTEM\\CurrentControlSet\\Services\\LanmanServer\\Parameters\u201d DisableCompression -Type DWORD -Value 1 \u2013Force<\/strong><\/p>\n<h3>Per i clienti SMB:<\/h3>\n<ul>\n<li>Come nel caso di WannaCry, Microsoft suggerisce di bloccare la porta TCP 445 a livello di firewall di perimetro aziendale.<\/li>\n<\/ul>\n<p>Inoltre, assicuratevi di avvalervi di una soluzione di sicurezza affidabile come <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>. Tra le altre tecnologie, impiega un sottosistema di prevenzione degli exploit che protegge gli endpoint anche da vulnerabilit\u00e0 sconosciute.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Microsoft ha rilasciato una patch per la grave vulnerabilit\u00e0 CVE-2020-0796 scoperta di recente nel protocollo di rete SMB 3.1.1.<\/p>\n","protected":false},"author":700,"featured_media":20810,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2641,12,2956],"tags":[5,2729,584,2430],"class_list":{"0":"post-20809","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"category-news","11":"category-smb","12":"tag-microsoft","13":"tag-smb","14":"tag-vulnerabilita","15":"tag-wannacry"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/smb-311-vulnerability\/20809\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/smb-311-vulnerability\/19519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/smb-311-vulnerability\/16096\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/smb-311-vulnerability\/8038\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/smb-311-vulnerability\/21128\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/smb-311-vulnerability\/19390\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/smb-311-vulnerability\/17873\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/smb-311-vulnerability\/22070\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/smb-311-vulnerability\/27594\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/smb-311-vulnerability\/7903\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/smb-311-vulnerability\/33991\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/smb-311-vulnerability\/14461\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/smb-311-vulnerability\/14532\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/smb-311-vulnerability\/13158\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/smb-311-vulnerability\/23259\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/smb-311-vulnerability\/11184\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/smb-311-vulnerability\/27846\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/smb-311-vulnerability\/25095\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/smb-311-vulnerability\/21803\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/smb-311-vulnerability\/27009\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/smb-311-vulnerability\/26848\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/20809","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=20809"}],"version-history":[{"count":10,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/20809\/revisions"}],"predecessor-version":[{"id":23350,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/20809\/revisions\/23350"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/20810"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=20809"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=20809"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=20809"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}