Lo scorso settembre, la US Cybersecurity and Infrastructure Security Agency (CISA), che raramente emette direttive su specifiche vulnerabilit\u00e0, ha istruito le agenzie governative che usano Microsoft Windows Active Directory nelle loro reti ad applicare immediatamente una patch a tutti i controller di dominio. La questione riguardava la vulnerabilit\u00e0 CVE-2020-1472 nel protocollo Netlogon, soprannominato Zerologon.<\/p>\n
La vulnerabilit\u00e0 Zerologon<\/a> deriva da un algoritmo di cifratura inaffidabile nel meccanismo di autenticazione Netlogon. Permette a un intruso che si \u00e8 connesso alla rete aziendale o ha infettato un computer sulla stessa di attaccare, e infine prendere il controllo, di un controller di dominio.<\/p>\n La vulnerabilit\u00e0 raggiunge il valore massimo della scala CVSSv3, ovvero 10.0. Microsoft ha rilasciato una patch nel mese di agosto, ma \u00e8 stato uno studio approfondito dalla societ\u00e0 di cybersicurezza olandese Secura che ha attirato l\u2019attenzione su Zerologon e su come pu\u00f2 essere sfruttata. Entro poche ore dall\u2019uscita del documento, i ricercatori hanno iniziato a pubblicare le loro proof of concept (PoC).<\/a> In pochi giorni, almeno quattro campioni di codice open-source erano disponibili su GitHub, dimostrando come la vulnerabilit\u00e0 potrebbe essere effettivamente utilizzata.<\/p>\n Naturalmente, le PoC pubblicamente disponibili hanno attirato l\u2019attenzione non solo degli esperti di sicurezza informatica, ma anche dei cybercriminali, che hanno solo dovuto copiare e incollare il codice nel loro malware. Ad esempio, agli inizi di ottobre, Microsoft ha segnalato<\/a> i tentativi del gruppo TA505 di sfruttare Zerologon. I criminali informatici hanno fatto passare il malware come un aggiornamento software e hanno compilato strumenti di attacco sui computer infetti per sfruttare la vulnerabilit\u00e0.<\/p>\n Un altro gruppo, autore del ransomware Ryuk, ha usato Zerologon per infettare l\u2019intera rete locale di un\u2019azienda in sole cinque ore<\/a>. Dopo aver inviato a un dipendente una e-mail di phishing standard, il gruppo ha aspettato che venisse aperta e che il computer venisse infettato, e poi ha usato Zerologon per muoversi lateralmente attraverso la rete, distribuendo un ransomware eseguibile in tutti i server e le workstation.<\/p>\n Potrebbe sembrare che sfruttare Zerologon richieda un attacco a un controller di dominio dall\u2019interno della rete locale. In realt\u00e0, per\u00f2, i criminali informatici sono stati a lungo in grado di superare questo ostacolo utilizzando vari metodi per hackerare un computer nella rete. Questi includono l\u2019uso di phishing, attacchi alla supply chain e persino prese di corrente non sorvegliate nelle aree degli uffici per i visitatori. Un ulteriore pericolo viene dalle connessioni remote (che quasi tutte le aziende usano al giorno d\u2019oggi), specialmente se i dipendenti sono in grado di connettersi alle risorse aziendali dai propri dispositivi.<\/p>\n Il problema principale di Zerologon (e di altre ipotetiche vulnerabilit\u00e0 di questo tipo) \u00e8 che il suo sfruttamento appare come uno scambio di dati standard tra un computer della rete e un controller di dominio; solo l\u2019intensit\u00e0 insolita dello scambio dester\u00e0 sospetti. Per questo motivo, le aziende che si affidano esclusivamente a soluzioni di sicurezza per endpoint hanno poche possibilit\u00e0 di rilevare tali attacchi.<\/p>\n Il compito di gestire anomalie di questo tipo \u00e8 meglio lasciarlo a servizi specializzati come Kaspersky Managed Detection and Response (MDR). Si tratta infatti di un SOC esterno con una conoscenza approfondita delle tattiche dei criminali informatici, che fornisce raccomandazioni pratiche dettagliate al cliente.<\/p>\n La soluzione ha due livelli: MDR optimum e MDR expert. Non appena sono stati pubblicati i dettagli di Zerologon, gli esperti di Kaspersky SOC hanno iniziato a tracciare i tentativi di sfruttamento della vulnerabilit\u00e0 all\u2019interno del servizio MDR, garantendo che entrambe le versioni di Kaspersky Managed Detection and Response possano combattere questa minaccia.<\/p>\n Kaspersky Managed Detection and Response fa parte di Kaspersky Optimum Security<\/a>. Per saperne di pi\u00f9 sulla soluzione, consultate la pagina Kaspersky MDR<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Per fermare tutte le minacce all’infrastruttura aziendale, bisogna fare di pi\u00f9 che proteggere le workstation. <\/p>\n","protected":false},"author":2581,"featured_media":24179,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2955,2641,2956],"tags":[3458,584],"class_list":{"0":"post-24178","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-threats","10":"category-smb","11":"tag-accesso-non-autorizzato","12":"tag-vulnerabilita"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zerologon-threat-mdr\/24178\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zerologon-threat-mdr\/22621\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zerologon-threat-mdr\/18114\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zerologon-threat-mdr\/8993\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zerologon-threat-mdr\/22433\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zerologon-threat-mdr\/21467\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zerologon-threat-mdr\/24926\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zerologon-threat-mdr\/30359\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/zerologon-threat-mdr\/9440\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zerologon-threat-mdr\/39026\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zerologon-threat-mdr\/16565\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zerologon-threat-mdr\/17212\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zerologon-threat-mdr\/26376\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zerologon-threat-mdr\/23721\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zerologon-threat-mdr\/29001\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zerologon-threat-mdr\/28803\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/vulnerabilita\/","name":"vulnerabilit\u00e0"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24178","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=24178"}],"version-history":[{"count":6,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24178\/revisions"}],"predecessor-version":[{"id":24377,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/24178\/revisions\/24377"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/24179"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=24178"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=24178"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=24178"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Zerologon negli attacchi reali<\/h2>\n
Perch\u00e9 Zerologon \u00e8 una vulnerabilit\u00e0 pericolosa<\/h2>\n