{"id":22837,"date":"2020-09-16T13:26:10","date_gmt":"2020-09-16T11:26:10","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=22837"},"modified":"2020-09-16T13:26:10","modified_gmt":"2020-09-16T11:26:10","slug":"cve-2020-1472-domain-controller-vulnerability","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1472-domain-controller-vulnerability\/22837\/","title":{"rendered":"La vulnerabilit\u00e0 Zerologon minaccia i controller di dominio"},"content":{"rendered":"<p>Durante il Patch Tuesday di agosto, Microsoft ha risolto diverse vulnerabilit\u00e0, tra cui una dal nome <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1472\" target=\"_blank\" rel=\"noopener nofollow\">CVE-2020-1472<\/a>. Alla vulnerabilit\u00e0 del protocollo Netlogon \u00e8 stato assegnato il grado di gravit\u00e0 \u201ccritico\u201d (il suo punteggio CVSS era quello massimo, ovvero 10.0). Che potesse rappresentare una minaccia non \u00e8 mai stato messo in dubbio, tuttavia l\u2019altro giorno Tom Tervoort, il ricercatore di Secura che l\u2019ha scoperta, ha pubblicato un <a href=\"https:\/\/www.secura.com\/\" target=\"_blank\" rel=\"noopener nofollow\">report dettagliato<\/a> che spiega perch\u00e9 la vulnerabilit\u00e0, nota come Zerologon, sia cos\u00ec pericolosa e come possa essere sfruttata per hackerare un controller di dominio.<\/p>\n<h2>Che cos\u2019\u00e8 Zerologon?<\/h2>\n<p>In sostanza, CVE-2020-1472 \u00e8 il risultato di una falla nel sistema cifrato di autenticazione Netlogon Remote Protocol. Il protocollo consente l\u2019autenticazione degli utenti e dei dispositivi sulle reti basate su domini e viene utilizzato anche per aggiornare le password dei computer da remoto. Grazie alla vulnerabilit\u00e0, un cybercriminale pu\u00f2 spacciarsi per un computer client e sostituire la password di un controller di dominio (un server che controlla un\u2019intera rete e gestisce i servizi Active Directory), il che gli consente di ottenere le autorizzazioni di amministratore di dominio.<\/p>\n<h2>Chi \u00e8 a rischio?<\/h2>\n<p>La vulnerabilit\u00e0 CVE-2020-1472 rappresenta un rischio per le aziende le cui reti sono basate sui controller di dominio su Windows. In particolare, i criminali informatici possono hackerare un controller di dominio basato su qualsiasi versione di Windows Server 2019 o Windows Server 2016, cos\u00ec come qualsiasi edizione di Windows Server versione 1909, Windows Server versione 1903, Windows Server versione 1809 (edizioni Datacenter e Standard), Windows Server 2012 R2, Windows Server 2012, Windows Server 2012, o Windows Server 2008 R2 Service Pack 1. Per portate a termine l\u2019attacco, i cybercriminali dovrebbero innanzitutto penetrare nella rete aziendale, ma questo non \u00e8 un problema cos\u00ec insormontabile (gli <a href=\"https:\/\/encyclopedia.kaspersky.com\/knowledge\/recognizing-different-types-of-insiders\/\" target=\"_blank\" rel=\"noopener\">attacchi interni<\/a> e l\u2019accesso <a href=\"https:\/\/www.kaspersky.it\/blog\/dark-vishnya-attack\/16679\/\" target=\"_blank\" rel=\"noopener\">dalle prese Ethernet<\/a> in locali accessibili al pubblico non sono affatto nuovi).<\/p>\n<p>Fortunatamente la vulnerabilit\u00e0 Zerologon non \u00e8 ancora stato utilizzata in un attacco reale (o fino ad ora non ci sono state segnalazioni). Tuttavia, il report di Tervoort ha suscitato scalpore, attirando molto probabilmente l\u2019attenzione dei criminali informatici e, sebbene i ricercatori non abbiano pubblicato una <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/poc-proof-of-concept\/\" target=\"_blank\" rel=\"noopener\">proof of concept<\/a>, non ci sono dubbi che i cybercriminali potrebbero elaborarne una basata sulle patch.<\/p>\n<h2>Come difendersi da Zerologon<\/h2>\n<p>Agli inizi di agosto, Microsoft ha <a href=\"https:\/\/portal.msrc.microsoft.com\/en-US\/security-guidance\/advisory\/CVE-2020-1472\" target=\"_blank\" rel=\"noopener nofollow\">rilasciato le patch<\/a> per risolvere la vulnerabilit\u00e0 in tutti i sistemi interessati quindi, se non avete ancora aggiornato i sistemi, vi conviene affrettarvi. Inoltre, Microsoft consiglia di monitorare eventuali tentativi di login effettuati attraverso la versione vulnerabile del protocollo e di identificare i dispositivi che non supportano la nuova versione. Per Microsoft, la situazione ideale sarebbe che il controller di dominio venisse impostato su una modalit\u00e0 dove tutti i dispositivi possano utilizzare la versione sicura di Netlogon.<\/p>\n<p>Gli aggiornamenti non rendono questa restrizione obbligatoria, perch\u00e9 il protocollo remoto Netlogon Remote Protocol non viene utilizzato solo su Windows, ma anche su molti dispositivi basati su altri sistemi operativi. Se si rendesse obbligatorio il suo utilizzo, i dispositivi che non supportano la versione sicura non funzionerebbero correttamente.<\/p>\n<p>In ogni caso, a partire dal 9 febbraio 2021, i controller di dominio saranno tenuti ad utilizzare tale modalit\u00e0 (cio\u00e8, costringendo tutti i dispositivi ad utilizzare il Netlogon aggiornato e sicuro), per cui gli amministratori dovranno risolvere in anticipo il problema della conformit\u00e0 dei dispositivi di terze parti (aggiornandoli o aggiungendoli manualmente come esclusioni). Per maggiori informazioni sula patch di agosto e cosa cambier\u00e0 a febbraio insieme ad altre linee guida dettagliate, vi consigliamo di leggere il <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4557222\/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc\" target=\"_blank\" rel=\"noopener nofollow\">post di Microsoft<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-top3\">\n","protected":false},"excerpt":{"rendered":"<p>La vulnerabilit\u00e0 CVE-2020-1472 nel protocollo Netlogon, alias Zerologon, permette ai cybercriminali di hackerare i controller di dominio.<\/p>\n","protected":false},"author":2581,"featured_media":22838,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2956],"tags":[2965,5,584],"class_list":{"0":"post-22837","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-cve","11":"tag-microsoft","12":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/cve-2020-1472-domain-controller-vulnerability\/22837\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/cve-2020-1472-domain-controller-vulnerability\/21903\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/17377\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/23294\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/cve-2020-1472-domain-controller-vulnerability\/21486\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/20106\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/cve-2020-1472-domain-controller-vulnerability\/23898\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/cve-2020-1472-domain-controller-vulnerability\/29085\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/cve-2020-1472-domain-controller-vulnerability\/8828\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/cve-2020-1472-domain-controller-vulnerability\/37048\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/cve-2020-1472-domain-controller-vulnerability\/15680\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cve-2020-1472-domain-controller-vulnerability\/16049\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/cve-2020-1472-domain-controller-vulnerability\/13982\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/cve-2020-1472-domain-controller-vulnerability\/25178\/"},{"hreflang":"zh","url":"https:\/\/www.kaspersky.com.cn\/blog\/cve-2020-1472-domain-controller-vulnerability\/11985\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/cve-2020-1472-domain-controller-vulnerability\/29235\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/cve-2020-1472-domain-controller-vulnerability\/26096\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/cve-2020-1472-domain-controller-vulnerability\/22875\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/cve-2020-1472-domain-controller-vulnerability\/28197\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/cve-2020-1472-domain-controller-vulnerability\/28029\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22837","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=22837"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22837\/revisions"}],"predecessor-version":[{"id":22846,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/22837\/revisions\/22846"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/22838"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=22837"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=22837"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=22837"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}