- Email: info@sestech.it
- Firenze
- +393713742262
Nel settembre 2020 Secura ha pubblicato un articolo che rivelava una vulnerabilità in Windows Server (tutte le versioni conosciute) Netlogon Remote Protocol . Questa vulnerabilità è nota come CVE-2020-1472 o più comunemente Zerologon.
Rappresenta una grave minaccia per le organizzazioni poiché prende di mira il controller di dominio (DC), ove presente. Gli aggressori prendono di mira i controller di dominio per ottenere l’accesso all’account di amministratore e per controllare gli host e i server collegati al data center. Ciò consente di ottenere l’accesso all’intero ambiente compromesso.
L’attacco utilizza difetti in un protocollo di autenticazione che convalida l’autenticità e l’identità di un computer aggiunto a un dominio nel controller di dominio. A causa dell’uso errato di una modalità operativa AES è possibile falsificare l’identità di qualsiasi account computer (incluso quello del controller di dominio stesso) e impostare una password vuota per quell’account nel dominio. Lo sfruttamento consiste nell’invio di una grande quantità di richieste di autenticazione a un controller di dominio tramite NetLogon. Questi contengono una richiesta del client che contiene solo 0 per le credenziali e risulta in un accesso riuscito quando una buona chiave viene scelta casualmente dal server. Una buona chiave viene scelta in media 1 su 256 volte.
Microsoft ha già rilasciato un aggiornamento di patch di sicurezzanel mese di agosto 2020. Questo aggiornamento è il primo di un aggiornamento in due parti (è prevista la seconda parte per essere rilasciato il 2 febbraio ° 2021) e fornisce le seguenti modifiche al protocollo NetLogon:
Nell’aggiornamento di agosto, Microsoft ha aggiunto cinque nuovi ID evento per notificare le connessioni di Netlogon vulnerabili. Ad esempio, l’ID evento 5829 viene generato quando una connessione al canale protetto “Accesso rete vulnerabile” è consentita durante una fase di distribuzione iniziale.
La registrazione di eventi specifici per questa vulnerabilità è fornita da eventi di Windows con i seguenti riferimenti:
Gli amministratori possono monitorare gli ID evento 5827 e 5828 quando le connessioni di accesso alla rete vulnerabili vengono negate e gli ID evento 5830 e 5831, attivati quando le connessioni di accesso alla rete vulnerabili sono consentite dai controller di dominio, con patch tramite Criteri di gruppo.
Sono interessate le seguenti versioni del server:
E’ necessario individuare tutti i dispositivi che eseguono connessioni con questi EventID e verificare se è possibile “correggere” il loro comportamento (es. aggiornamenti, firmware update, ecc.). All’uscita della patch di Febbraio sarà imposto l’utilizzo sicuro di RPC e questi dispositivi potrebbero non funzionare correttamente.
Seguici su:
Per maggiori informazioni, per suggerimenti e ottenere un preventivo gratuito per le tue esigenze, contattaci.
Il nostro staff di professionisti sarà lieto di fornire tutte le informazioni ed i costi riguardanti il servizio.
Attenzione : Sestech non è un servizio di helpdesk “gratuito” a cui chiedere informazioni.
Vulnerabilità di Zerologon, Vulnerabilità Zerologon, Zerologon, Zerologon vulnerability, zerologon event id, Detecting the Zerologon vulnerability, What is Zerologon, Cos’è Zerologon vulnerability, Microsoft’s Zerologon vulnerability fix, Zerologon vulnerability domain controller, assistenza domain controller, manutenzione domain controller, aggiornamento domain controller Firenze