{"id":22334,"date":"2020-07-16T14:27:39","date_gmt":"2020-07-16T12:27:39","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22334"},"modified":"2020-11-12T20:00:43","modified_gmt":"2020-11-12T18:00:43","slug":"cve-2020-1350-dns-rce","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1350-dns-rce\/22334\/","title":{"rendered":"CVE-2020-1350: vulnerabilit\u00e0 nei server DNS di Windows"},"content":{"rendered":"<p>Microsoft ha informato della presenza della vulnerabilit\u00e0 CVE-2020-1350 nel server DNS di Windows. Notizia cattiva: la vulnerabilit\u00e0 ha ottenuto un 10 nella scala CVSS, il che significa che ci troviamo di fronte a una vulnerabilit\u00e0 critica. Notizia buona: I cybercriminali possono sfruttarla solo se il sistema opera in modalit\u00e0 server DNS. In altre parole, il numero di computer potenzialmente vulnerabili \u00e8 relativamente ridotto. Inoltre, l\u2019azienda <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1350\" target=\"_blank\" rel=\"noopener nofollow\">ha gi\u00e0 rilasciato delle patch e un workaround<\/a>.<\/p>\n<h2>In cosa consiste questa vulnerabilit\u00e0 e quanto \u00e8 pericolosa?<\/h2>\n<p>La vulnerabilit\u00e0 CVE-2020-1350 consente ai cybercriminali di forzare i server DNS che eseguono Windows Server e ad avviare il codice dannoso da remoto. In altre parole, la vulnerabilit\u00e0 appartiene alla <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/remote-code-execution-rce\/\" target=\"_blank\" rel=\"noopener\">classe RCE<\/a>. Per sfruttare la CVE-2020-1350, basta inviare una richiesta al server DNS generata appositamente.<\/p>\n<p>Il codice di terze parti viene poi eseguito nel contesto dell\u2019<a href=\"https:\/\/docs.microsoft.com\/en-us\/windows\/win32\/services\/localsystem-account\" target=\"_blank\" rel=\"noopener nofollow\">account LocalSystem<\/a>. Questo account ha ampi privilegi sul computer locale e funge da computer sulla rete. Inoltre, il sottosistema di sicurezza non riconosce l\u2019account LocalSystem. Secondo Microsoft, il pericolo principale della vulnerabilit\u00e0 \u00e8 che pu\u00f2 essere utilizzata per diffondere una minaccia sulla rete locale, ed \u00e8 stata quindi classificata come wormable.<\/p>\n<h2>Chi si trova nella zona a rischio della vulnerabilit\u00e0 CVE-2020-1350?<\/h2>\n<p>Tutte le versioni di Windows Server sono vulnerabili, ma solo se eseguite in modalit\u00e0 server DNS. Se la vostra azienda non ha un server DNS o utilizza un server DNS basato su un sistema operativo diverso, non avete nulla di cui preoccuparvi.<\/p>\n<p>Fortunatamente, la vulnerabilit\u00e0 \u00e8 stata scoperta dalla Check Point Research e non esistono ancora informazioni pubbliche su come sfruttarla. Inoltre, attualmente non vi \u00e8 alcuna prova che la CVE-2020-1350 sia stato sfruttata da quale cybercriminale.<\/p>\n<p>Tuttavia, \u00e8 molto probabile che, nel momento in cui Microsoft ha consigliato l\u2019aggiornamento del sistema, i criminali informatici abbiano iniziato ad analizzare i server DNS vulnerabili e le patch rilasciate per capire come sfruttare la vulnerabilit\u00e0. Nessuno dovrebbe indugiare nell\u2019installare la patch.<\/p>\n<h2>Cosa fare<\/h2>\n<p>Come gi\u00e0 detto, \u00e8 meglio installare subito la patch Microsoft, che modifica il metodo di gestione delle richieste da parte dei server DNS. La patch \u00e8 disponibile per Windows Server 2008, Windows Server 2012, Windows Server 2016, Windows Server 2019, Windows Server versione 1903, Windows Server versione 1909 e Windows Server versione 2004. <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1350\" target=\"_blank\" rel=\"noopener nofollow\">\u00c8 possibile scaricarla dalla pagina Microsoft dedicata a questa vulnerabilit\u00e0<\/a>.<\/p>\n<p>Tuttavia, alcune grandi aziende hanno regole interne e una routine consolidata per gli aggiornamenti del software, e i loro amministratori di sistema potrebbero non essere in grado di installare immediatamente la patch. Per evitare che i server DNS vengano compromessi in casi come questi, l\u2019azienda <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4569509\/windows-dns-server-remote-code-execution-vulnerability\" target=\"_blank\" rel=\"noopener nofollow\">ha proposto anche un workaround<\/a>, ovvero apportare le seguenti modifiche al registro di sistema:<\/p>\n<blockquote><p>HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\DNS\\Parameters<br>\nDWORD = TcpReceivePacketSize<br>\nValue = 0xFF00<\/p><\/blockquote>\n<p>Dopo aver salvato le modifiche, sar\u00e0 necessario riavviare il server. Va precisato che questa soluzione pu\u00f2 potenzialmente portare a un malfunzionamento del server, nel raro caso in cui il server riceva un pacchetto TCP pi\u00f9 grande di 65,280 byte, per cui Microsoft consiglia di eliminare la chiave TcpReceivePacketSize e il suo valore e, una volta installata la patch, di riportare la voce del registro di sistema al suo stato originale.<\/p>\n<p>Per quanto ci riguarda, vogliamo ricordarvi che il server DNS della vostra infrastruttura non \u00e8 altro che un computer e, come un qualsiasi altro endpoint, pu\u00f2 contenere delle vulnerabilit\u00e0 che i criminali informatici possono cercare di sfruttare. Pertanto, come qualsiasi altro endpoint sulla rete, richiede la protezione di una soluzione di sicurezza adeguata, come <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Endpoint Security for Business<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>Microsoft ha rilasciato una patch per una vulnerabilit\u00e0 RCE critica nei sistemi Windows Server.<\/p>\n","protected":false},"author":2581,"featured_media":22335,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[2294,5,538,584],"class_list":{"0":"post-22334","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-dns","11":"tag-microsoft","12":"tag-patch","13":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1350-dns-rce\/22334\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1350-dns-rce\/21562\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/17025\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/8438\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/22822\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1350-dns-rce\/21013\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/19661\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1350-dns-rce\/23491\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1350-dns-rce\/28735\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1350-dns-rce\/8588\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1350-dns-rce\/36366\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1350-dns-rce\/15293\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1350-dns-rce\/15766\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1350-dns-rce\/13690\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1350-dns-rce\/24721\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1350-dns-rce\/28829\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1350-dns-rce\/25687\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1350-dns-rce\/22591\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1350-dns-rce\/27846\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1350-dns-rce\/27682\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22334"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22334\/revisions"}],"predecessor-version":[{"id":23346,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22334\/revisions\/23346"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22335"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}