CVE-2020-1472 – Netlogon Elevation of Privilege Vulnerability

Come indicato nell’avviso CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability l’11 agosto 2020 Microsoft ha dato inizio alla fase di distribuzione degli aggiornamenti di sicurezza relativi al protocollo MS-NRPC (Netlogon Remote Protocol) per mitigare la CVE-2020-1472. La vulnerabilità, a cui è stato assegnato il punteggio CVSS massimo (10.0), potrebbe essere sfruttata da un utente non autenticato per attivare una connessione Netlogon verso un Domain Controller vulnerabile e ottenere i privilegi di amministratore, con la possibilità di eseguire applicazioni sui dispositivi presenti a dominio.

Le versioni di Windows affette da tale vulnerabilità sono le seguenti:

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

Microsoft ha programmato il rilascio di aggiornamenti di sicurezza in due fasi:

  • 11 agosto 2020 – fase di distribuzione iniziale: Tali aggiornamenti e successivi apportano modifiche al protocollo Netlogon al fine di proteggere i dispositivi Windows per impostazione predefinita, consentono di registrare gli eventi per l’individuazione di dispositivi non conformi e aggiungono la possibilità di abilitare la protezione per tutti i dispositivi associati a domini con eccezioni esplicite;
  • 9 febbraio 2021 – fase di applicazione: tutti i dispositivi Windows e non Windows dovranno usare la Remote Procedure Call (RPC) sicura con canale protetto Netlogon, fatte salve eccezioni esplicitamente consentite.

Per i dettagli si veda la KB4557222 How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 dove è possibile avere informazioni sulla gestione sulle configurazioni necessarie, in sintesi la distribuzione comprenderà le seguenti fasi:

  1. Deploy dell’aggiornamento dell’11 agosto 2020 su tutti i DC della foresta.
  2. (a) monitorare gli eventi di avviso e (b) agire su ogni evento.
  3. (a) una volta risolti tutti gli eventi di avviso è possibile abilitare protezione tramite il deploy del DC enforcement mode. (b) Tutti gli avvisi devono essere risolti prima dell’aggiornamento della fase di applicazione del 9 febbraio 2021.

Per ulteriori informazioni si vedano: