• +393713742262

  • info@sestech.it

  • Lun - Ven (09 am to 18 pm)

    Sab-Dom Chiuso

Richiedi un Intervento

Vulnerabilità di Zerologon: cos’è e come intervenire

By Assistenza Informatica Firenze/Settembre 30, 2020/Comments are closed

Nel settembre 2020 Secura ha pubblicato un articolo che rivelava una vulnerabilità in Windows Server (tutte le versioni conosciute) Netlogon Remote Protocol . Questa vulnerabilità è nota come CVE-2020-1472 o più comunemente Zerologon.

Rappresenta una grave minaccia per le organizzazioni poiché prende di mira il controller di dominio (DC), ove presente. Gli aggressori prendono di mira i controller di dominio per ottenere l’accesso all’account di amministratore e per controllare gli host e i server collegati al data center. Ciò consente di ottenere l’accesso all’intero ambiente compromesso.

L’attacco utilizza difetti in un protocollo di autenticazione che convalida l’autenticità e l’identità di un computer aggiunto a un dominio nel controller di dominio. A causa dell’uso errato di una modalità operativa AES è possibile falsificare l’identità di qualsiasi account computer (incluso quello del controller di dominio stesso) e impostare una password vuota per quell’account nel dominio. Lo sfruttamento consiste nell’invio di una grande quantità di richieste di autenticazione a un controller di dominio tramite NetLogon. Questi contengono una richiesta del client che contiene solo 0 per le credenziali e risulta in un accesso riuscito quando una buona chiave viene scelta casualmente dal server. Una buona chiave viene scelta in media 1 su 256 volte.

Gli attacchi ransomware possono essere eseguiti facilmente una volta acquisiti questi privilegi, rendendo questo attacco potenzialmente devastante per un’organizzazione.

Microsoft ha già rilasciato un aggiornamento di patch di sicurezzanel mese di agosto 2020. Questo aggiornamento è il primo di un aggiornamento in due parti (è prevista la seconda parte per essere rilasciato il 2 febbraio ° 2021) e fornisce le seguenti modifiche al protocollo NetLogon:

  • Impone l’utilizzo sicuro di RPC per gli account macchina sui dispositivi basati su Windows.
  • Impone l’utilizzo sicuro di RPC per gli account.
  • Impone l’utilizzo sicuro di RPC per tutti i controller di dominio Windows e non Windows.
  • Include un nuovo criterio di gruppo per consentire gli account dei dispositivi non conformi (quelli che utilizzano connessioni di canali protetti di Netlogon vulnerabili). 

Cosa facciamo adesso??

Nell’aggiornamento di agosto, Microsoft ha aggiunto cinque nuovi ID evento per notificare le connessioni di Netlogon vulnerabili. Ad esempio, l’ID evento 5829 viene generato quando una connessione al canale protetto “Accesso rete vulnerabile” è consentita durante una fase di distribuzione iniziale.

La registrazione di eventi specifici per questa vulnerabilità è fornita da eventi di Windows con i seguenti riferimenti:

  • EventID 5827,
  • EventID 5828,
  • EventID 5829,
  • EventID 5830,
  • ID evento 5831

Gli amministratori possono monitorare gli ID evento 5827 e 5828 ​​quando le connessioni di accesso alla rete vulnerabili vengono negate e gli ID evento 5830 e 5831, attivati ​​quando le connessioni di accesso alla rete vulnerabili sono consentite dai controller di dominio, con patch tramite Criteri di gruppo. 

Sono interessate le seguenti versioni del server:

  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1
  • Windows Server 2008 R2 per sistemi basati su x64 Service Pack 1 (installazione Server Core)
  • Windows Server 2012
  • Windows Server 2012 (installazione Server Core)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (installazione Server Core)
  • Windows Server 2016
  • Windows Server 2016 (installazione Server Core)
  • Windows Server 2019
  • Windows Server 2019 (installazione Server Core)
  • Windows Server, versione 1903 (installazione Server Core)
  • Windows Server, versione 1909 (installazione Server Core)
  • Windows Server, versione 2004 (installazione Server Core)

E’ necessario individuare tutti i dispositivi che eseguono connessioni con questi EventID e verificare se è possibile “correggere” il loro comportamento (es. aggiornamenti, firmware update, ecc.). All’uscita della patch di Febbraio sarà imposto l’utilizzo sicuro di RPC e questi dispositivi potrebbero non funzionare correttamente.

Vulnerabilità di Zerologon, Vulnerabilità Zerologon, Zerologon, Zerologon vulnerability, zerologon event id, Detecting the Zerologon vulnerability, What is Zerologon, Cos’è Zerologon vulnerability, Microsoft’s Zerologon vulnerability fix, Zerologon vulnerability domain controller

Assistenza Informatica Firenze

+390557476766 Siamo a vostra diposizione per qualunque richiesta o informazione sui nostri corsi o servizi. Lasciateci un messaggio. Vi risponderemo al più presto.

Servizi & Assistenza

0x800CCC0D 2 skype 0x800C013B 0x800C013B error 0x80090016 keyset does not exist server 2003 0x80090016 operazioni pianificate 0x800CCC6D 0x8007170a 2 skype attivi 0x80090016 Keyset does not exist 0x80070005X asp.net 0x800C013B errore 0x800CCC90 0x800CCC92 0x80090016 task scheduler 45145 error 0x80090016 0x18e4014 0x80070005 RewriteModule BeginRequest 120 days 2 skype in funzione 5.7.1 Access to not allowed 32 bit 0x800CCC79 0xC00D0005 non è nessuna connessione stabilita con il server Windows Media 0xC00D0005 error 0x80004005 0x80070002 iis 0x8ffe2740 0x800CCC0E 0x800700b7 BeginRequest 0x65c0 DBC 0x18e4014 Jet 2012 Server Manager 0x80070005 0x80004005 Errore non specificato 0x8007170b 0xC00D0005 2021 Global Threat Report 500 - Internal Server Error 0x80070032 0x80070005 error 18456 impossibile accesso 0x80090016 keyset does not exist xp 0x80090016 keyset does not exist windows 2003 server 0x00000035

Assistenza & Consulenza Informatica a Firenze

Il nostro gruppo si occupa da anni di offrire servizi professionali di recupero dati, assistenza tecnica informatica, riparazioni server, consulenza per soluzioni di CyberSecurity

Dimmi di più
  • info@sestech.it
  • +393713742262
  • Lun - Ven (09 am to 18 pm)

Ultime dal Blog

Servizi

500 - Internal Server Error 0x80090016 Keyset does not exist 2 skype 120 days 0x80090016 keyset does not exist xp 0x80070005 2 skype attivi 5.7.1 Access to not allowed 0x00000035 0x80090016 operazioni pianificate 0x800CCC79 0x800CCC0D 0x8ffe2740 0xC00D0005 18456 impossibile accesso 0x80090016 task scheduler 0x800C013B 0x800C013B errore 0x80070005 RewriteModule BeginRequest 0x8007170a 0x18e4014 0x80004005 32 bit 45145 error 0x800C013B error 0xC00D0005 non è nessuna connessione stabilita con il server Windows Media 0x80090016 0x80070005 error 0x80090016 keyset does not exist server 2003 0xC00D0005 error 0x800CCC0E 0x800CCC6D 0x800700b7 BeginRequest 0x80070005X asp.net 2012 Server Manager 0x800CCC90 2021 Global Threat Report 0x80070032 0x800CCC92 0x8007170b 2 skype in funzione 0x65c0 DBC 0x18e4014 Jet 0x80004005 Errore non specificato 0x80090016 keyset does not exist windows 2003 server 0x80070002 iis

Presso di Noi...

500 - Internal Server Error 0x800C013B errore 0x80070005 RewriteModule BeginRequest 0x65c0 DBC 0x18e4014 Jet 2 skype 32 bit 0xC00D0005 error 0x80090016 keyset does not exist windows 2003 server 0x80090016 keyset does not exist xp 0x80090016 task scheduler 45145 error 0x800CCC0D 0x80004005 Errore non specificato 0x80070032 0x80070005 error 120 days 0x18e4014 5.7.1 Access to not allowed 0x800CCC92 0x80090016 Keyset does not exist 0x800CCC0E 0x8007170a 0x800CCC6D 0xC00D0005 non è nessuna connessione stabilita con il server Windows Media 0xC00D0005 0x80070002 iis 0x8007170b 0x00000035 0x80090016 keyset does not exist server 2003 0x800CCC90 0x800CCC79 0x80004005 2 skype in funzione 2021 Global Threat Report 2 skype attivi 18456 impossibile accesso 0x80090016 0x800C013B error 0x80090016 operazioni pianificate 0x8ffe2740 2012 Server Manager 0x80070005X asp.net 0x800C013B 0x80070005 0x800700b7 BeginRequest

Copyright © 2024 | Sestech Di Anna Sestini - P.Iva 07089510486 - PEC : Anna.Sestini@ Pec.It

+393713742262

Hai bisogno di Aiuto?
Invia via WhatsApp