La vulnerabilità Zerologon minaccia i controller di dominio

Nel settembre 2020 Secura ha pubblicato un articolo che rivelava una vulnerabilità in Windows Server (tutte le versioni conosciute) Netlogon Remote Protocol . Questa vulnerabilità è nota come CVE-2020-1472 o più comunemente Zerologon.

Rappresenta una grave minaccia per le organizzazioni poiché prende di mira il controller di dominio (DC), ove presente. Gli aggressori prendono di mira i controller di dominio per ottenere l’accesso all’account di amministratore e per controllare gli host e i server collegati al data center. Ciò consente di ottenere l’accesso all’intero ambiente compromesso.

L’attacco utilizza difetti in un protocollo di autenticazione che convalida l’autenticità e l’identità di un computer aggiunto a un dominio nel controller di dominio. A causa dell’uso errato di una modalità operativa AES è possibile falsificare l’identità di qualsiasi account computer (incluso quello del controller di dominio stesso) e impostare una password vuota per quell’account nel dominio. Lo sfruttamento consiste nell’invio di una grande quantità di richieste di autenticazione a un controller di dominio tramite NetLogon. Questi contengono una richiesta del client che contiene solo 0 per le credenziali e risulta in un accesso riuscito quando una buona chiave viene scelta casualmente dal server. Una buona chiave viene scelta in media 1 su 256 volte.

Gli attacchi ransomware possono essere eseguiti facilmente una volta acquisiti questi privilegi, rendendo questo attacco potenzialmente devastante per un’organizzazione.

Microsoft ha già rilasciato un aggiornamento di patch di sicurezzanel mese di agosto 2020. Questo aggiornamento è il primo di un aggiornamento in due parti (è prevista la seconda parte per essere rilasciato il 2 febbraio ° 2021) e fornisce le seguenti modifiche al protocollo NetLogon:

  • Impone l’utilizzo sicuro di RPC per gli account macchina sui dispositivi basati su Windows.
  • Impone l’utilizzo sicuro di RPC per gli account.
  • Impone l’utilizzo sicuro di RPC per tutti i controller di dominio Windows e non Windows.
  • Include un nuovo criterio di gruppo per consentire gli account dei dispositivi non conformi (quelli che utilizzano connessioni di canali protetti di Netlogon vulnerabili).

Come intervenire per questa vulnerabilità?

Nell’aggiornamento di agosto, Microsoft ha aggiunto cinque nuovi ID evento per notificare le connessioni di Netlogon vulnerabili. Ad esempio, l’ID evento 5829 viene generato quando una connessione al canale protetto “Accesso rete vulnerabile” è consentita durante una fase di distribuzione iniziale.

La registrazione di eventi specifici per questa vulnerabilità è fornita da eventi di Windows con i seguenti riferimenti:

  • EventID 5827,
  • EventID 5828,
  • EventID 5829,
  • EventID 5830,
  • ID evento 5831

Gli amministratori possono monitorare gli ID evento 5827 e 5828 ​​quando le connessioni di accesso alla rete vulnerabili vengono negate e gli ID evento 5830 e 5831, attivati ​​quando le connessioni di accesso alla rete vulnerabili sono consentite dai controller di dominio, con patch tramite Criteri di gruppo. 

Sono interessate le seguenti versioni del server:

  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
  • Windows Server 2012
  • Windows Server 2012 (installazione Server Core)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (installazione Server Core)
  • Windows Server 2016
  • Windows Server 2016 (installazione Server Core)
  • Windows Server 2019
  • Windows Server 2019 (installazione Server Core)
  • Windows Server, versione 1903 (installazione Server Core)
  • Windows Server, versione 1909 (installazione Server Core)
  • Windows Server, versione 2004 (installazione Server Core)

E’ necessario individuare tutti i dispositivi che eseguono connessioni con questi EventID e verificare se è possibile “correggere” il loro comportamento (es. aggiornamenti, firmware update, ecc.). All’uscita della patch di Febbraio sarà imposto l’utilizzo sicuro di RPC e questi dispositivi potrebbero non funzionare correttamente.

Per maggiori informazioni, per suggerimenti e consulenza contatta il nostro gruppo Il nostro staff di professionisti sarà lieto di fornire tutte le informazioni ed i costi riguardanti il servizio.

WebMaster Firenze

Oppure, se preferisci, CONTATTACI attravero il modulo presente in questa pagina:

Il tuo nome (richiesto)

La tua email (richiesto)

Telefono

Il tuo messaggio

Dichiaro di avere inserito nel modulo di richiesta dati reali e dichiaro pertanto che tali dati corrispondono ai propri reali dati personali. Sono consapevole che è facoltà di assistenzadelPc.it perseguire nelle opportune sedi ogni violazione ed abuso.


Acconsento al trattamento dei dati personali, ai sensi dell'art. 13 del D.lgs. n. 196/2003 [Privacy Policy]

Fonti : Vulnerabilità di Zerologon, Vulnerabilità Zerologon, Zerologon, Zerologon vulnerability, zerologon event id, Detecting the Zerologon vulnerability, What is Zerologon, Cos’è Zerologon vulnerability, Microsoft’s Zerologon vulnerability fix, Zerologon vulnerability domain controller

In base alla normativa in materia di privacy, l’impresa individuale Trade Net Service di D. Lombardi, titolare del trattamento dei dati acquisiti tramite il presente sito informa l’utente che tale sito web non utilizza cookie di profilazione al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate nell'ambito della navigazione in rete. Il presente sito installa cookies di terze parti. Per maggiori informazioni, anche in ordine ai cookies tecnici utilizzati dal sito, e per negare il consenso all’installazione dei singoli cookie è possibile consultare l’informativa cookies completa. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi