Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Vulnerabilità SMBv3 spiegate

Vulnerabilità SMBv3 spiegate

Jun 25, 2024

I luoghi di lavoro si sono evoluti. Sebbene il lavoro ibrido e remoto esistesse già prima del COVID-19, queste modalità lavorative sono diventate ancora più diffuse durante e dopo la pandemia. Oggi, i luoghi di lavoro offrono la flessibilità per i dipendenti di lavorare e accedere alle risorse aziendali da qualsiasi parte del mondo, con il protocollo Server Message Block (SMB) al centro di tutto ciò. Tuttavia, questa flessibilità ha aperto la porta a sfide di sicurezza informatica più significative perché è richiesto più del tradizionale modello di sicurezza basato sul perimetro.

Questo articolo esplorerà queste preoccupazioni relative alla sicurezza informatica, in particolare nell'SMBv3, e fornirà misure pratiche per identificarle e mitigarle.

Cos'è SMBv3?

Server Message Block (SMB) si riferisce a un protocollo di rete che consente ad applicazioni, computer e dispositivi di comunicare e condividere risorse, come file, stampanti e porte seriali, attraverso una rete. Facilita la comunicazione tra client (dispositivi che richiedono l'accesso alle risorse) e server (dispositivi che forniscono risorse) su una rete locale (LAN) o attraverso internet.

Dalla sua creazione negli anni '80, SMB ha avuto diverse iterazioni (con miglioramenti nelle prestazioni e nella sicurezza), essendo SMBv3 l'ultima.

Vulnerabilità SMBv3

Nonostante i notevoli miglioramenti apportati a SMBv3, presenta ancora alcune vulnerabilità di sicurezza, con l'esecuzione di codice remoto che è una delle più preoccupanti. L'esecuzione di codice remoto (RCE) è una vulnerabilità di sicurezza che permette agli attori delle minacce di eseguire o far girare codice malevolo su un computer o una rete, di solito a distanza, per ottenere il controllo completo.

SMBGhost (CVE-2020-0796)

Il 10 marzo 2020, Microsoft ha pubblicato accidentalmente informazioni su una vulnerabilità appena identificata (CVE-2020-0796) in SMBv3. Anche se Microsoft ha rapidamente eliminato queste informazioni, i ricercatori le avevano già annotate. Questo ha costretto Microsoft a pubblicare un comunicato ufficiale due giorni dopo (il 12 marzo 2020).

Questi eventi hanno portato la comunità della sicurezza a soprannominare CVE-2020-0796 SMBGhost. Secondo Microsoft, questa vulnerabilità potrebbe portare all'esecuzione di codice remoto sul server, il che è sempre una preoccupazione significativa in quanto vulnerabilità grave.

L'avviso di Microsoft ha evidenziato che gli attori malevoli possono sfruttare questa vulnerabilità inviando un pacchetto appositamente creato a un obiettivo, il server SMBv3. Questo è molto simile alla vulnerabilità SMBv1. La parte inquietante di questa vulnerabilità è che i ricercatori l'hanno definita “wormable”, il che significa che se qualcuno dovesse sfruttare una delle tue macchine, potrebbe potenzialmente diffondersi da macchina a macchina in tutto il tuo ambiente.

La versione specificamente interessata era la 3.1.1, l'ultima versione di SMBv3. Microsoft ha anche indicato che la vulnerabilità ha interessato tutte le versioni di Windows 10 e Windows Server in esecuzione 1903 e 1909.

Fortunatamente, esistono alcune potenziali mitigazioni ed alternative per evitare questo problema e, in data 3/12/2020, Microsoft ha rilasciato una patch che risolve questa vulnerabilità.

Contenuti correlati selezionati:

CVE-2022-24508

Due anni dopo l'SMBGhost, l'8 marzo 2022, Microsoft ha rilasciato un altro aggiornamento di sicurezza relativo a SMBv3. Descritto come una vulnerabilità di esecuzione di codice remoto nell'enumerazione di file Win32, CVE-2022-24508 era un'altra vulnerabilità RCE che colpiva principalmente la versione di Windows 10 2004 e le versioni più recenti che supportano SMBv3.

Anche se non ci sono tante informazioni su CVE-2022-24508 come su SMBGhost, è importante notare che Microsoft ha classificato la gravità di questa vulnerabilità come “importante”. Questo significa che le organizzazioni dovrebbero comunque prestarle l'attenzione necessaria adottando misure per prevenirne l'exploit.

Rischi e impatto delle vulnerabilità SMBv3

Poiché la vulnerabilità di sicurezza più significativa di SMBv3 è RCE, questa sezione esplorerà i rischi legati a questa minaccia. Questi includono i seguenti:

  • Accesso non autorizzato: Il primo impatto di un attacco RCE è che gli attori malevoli ottengono accesso non autorizzato alla rete interna di un'organizzazione. Questo può avere conseguenze gravi, come l'escalation dei privilegi, che conferisce agli aggressori maggiore autorità all'interno della rete per eseguire azioni più dannose.
  • Violazioni dei dati: I dati, in particolare i dati interni dell'azienda (segreti aziendali), sono uno degli asset più importanti delle organizzazioni. Se questi dati finissero nelle mani sbagliate, avrebbero effetti devastanti. Pertanto, uno dei principali motivi per cui gli aggressori eseguono attacchi RCE è per rubare dati aziendali sensibili.
  • Diffusione di Malware: Una volta all'interno di una rete, gli aggressori possono diffondere codice maligno attraverso privilege escalation ad altre reti e dispositivi connessi.
  • Attacchi di ransomware: Gli attori delle minacce possono anche utilizzare attacchi RCE per tenere in “ostaggio” le risorse aziendali. In una tale situazione, gli aggressori bloccano gli amministratori aziendali dalla rete interessata o criptano dati essenziali e richiedono un pagamento in cambio dell'accesso.
  • Non conformità normativa: La violazione dei dati può mettere la tua organizzazione a rischio di non conformità con le leggi e i regolamenti che governano la gestione dei dati, come il General Data Protection Regulation (GDPR) e il Health Insurance Portability and Accountability Act (HIPAA). Questo può portare a pesanti multe da parte di questi enti regolatori e a una perdita di fiducia da parte dei clienti.
  • Perdite Finanziarie: Singolarmente o combinati, i rischi discussi sopra possono causare perdite significative alle organizzazioni colpite. Le aziende rischiano gravi perdite finanziarie pagando riscatti per recuperare dalle perdite dovute a tempi di inattività e pagando multe a causa della conformità normativa.

Prevenzione e mitigazione delle vulnerabilità SMBv3

Il primo (e più evidente) passo per prevenire le vulnerabilità SMBv3 è applicare le patch che Microsoft ha fornito in passato. Questo è il modo più efficace per mitigare le vulnerabilità identificate che hanno soluzioni note.

Se, per qualsiasi motivo, non sei in grado di applicare le patch a breve termine, Microsoft ha identificato una soluzione alternativa per impedire agli attori delle minacce di sfruttarla. Il problema risiede nella compressione SMB, quindi disattivare questa funzionalità di SMB ti proteggerà da un attaccante che tenta di sfruttarla.

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 1 -Force

Il codice PowerShell sopra riportato aggiornerà il tuo registro e disattiverà la funzionalità di compressione sui server SMB. Questo non proteggerà i tuoi client SMB; il codice necessario per aggiornare i tuoi client è riportato di seguito:

Set-ItemProperty -Path "HKLM: SYSTEMCurrentControlSetServicesLanmanServerParameters" DisableCompression -Type DWORD -Value 0 -Force

Fortunatamente, nessuno di questi aggiornamenti al registro richiede un riavvio per avere effetto.

Una domanda che potresti avere riguarda l'impatto che la disattivazione della compressione SMB potrebbe avere. Microsoft menziona nel loro advisory che la compressione SMB non è ancora utilizzata in Windows o Windows Server. Non ci sarà alcun impatto negativo sulle prestazioni.

Migliori pratiche per mitigare i rischi associati alle vulnerabilità di SMBv3

Mentre l'applicazione delle patch è essenziale e può aiutare a proteggere dalle vulnerabilità SMBv2, ci sono diverse cose che puoi fare per garantire la massima protezione delle reti della tua organizzazione, incluse le seguenti.

Utilizza le ultime versioni di SMB

Le ultime versioni di SMB di solito includono aggiornamenti che possono aiutare a proteggere la tua rete. Come accennato in precedenza, Microsoft ha rilasciato diversi aggiornamenti per SMB da quando è stato creato per la prima volta. Sebbene l'ultima versione sia SMBv3, ci sono stati comunque mini-aggiornamenti all'interno della versione e, al momento della stesura di questo articolo, il più recente è SMB 3.1.1, sviluppato per Windows 10 e Windows Server 2016. Ad esempio, questa versione presenta diversi aggiornamenti che la rendono più sicura rispetto alle versioni precedenti, come:

  • Crittografia
  • Caching delle Directory
  • Integrità pre-autenticazione
  • Supporto per l'aggiornamento cumulativo del cluster

Segmentate la vostra rete

In caso di attacco, gli attori della minaccia possono utilizzare l'escalation dei privilegi per estendere l'impatto attraverso le reti connesse. Puoi ridurre l'entità e l'ambito dell'attacco dividendo la tua rete in segmenti o sottoreti più piccoli e isolati. In questo modo, anche se gli hacker sfruttano una vulnerabilità in un segmento, non possono utilizzarla per accedere a un altro nella tua rete.

Monitoraggio del traffico di rete

Anche con l'applicazione di patch e l'attuazione delle migliori pratiche di sicurezza, è necessario essere sempre vigili nei confronti di comportamenti sospetti o anomali e persino di firme di attacchi noti all'interno della rete. Per fare ciò, è possibile implementare le seguenti strategie:

  • Stabilire una base di comportamento normale della rete; qualsiasi deviazione da questo dovrebbe essere segnalata come una potenziale minaccia.
  • Utilizzare sistemi di rilevamento delle intrusioni (IDS) e sistemi di prevenzione delle intrusioni (IPS)
  • Utilizza strumenti di analisi del traffico di rete
  • Analizza i dati di telemetria degli endpoint e i modelli di comportamento
  • Abilita la registrazione sui dispositivi di networks

Configura i firewall

I firewall possono essere estremamente utili nel proteggere l'integrità della tua rete. Funzionano applicando una politica di negazione, dove la tua rete blocca qualsiasi traffico in entrata e in uscita che non rientra nella categoria “consentita” dalle impostazioni del firewall. Ad esempio, se configuri i firewall per limitare il traffico SMB a specifici indirizzi IP o subnet, puoi aiutare a prevenire l'accesso non autorizzato da attacchi di esecuzione remota.

Come Netwrix può aiutare

Le vulnerabilità SMB sono sempre esistite e sempre esisteranno. Ma il fatto che questa sia la realtà non significa che si debba accettarla come status quo e non fare nulla al riguardo. È possibile e si dovrebbe prendere misure proattive per proteggere la rete della propria organizzazione contro le vulnerabilità di sicurezza e i rischi associati.

Fortunatamente, Netwrix può aiutare. Abbiamo soluzioni di Identity Threat Detection and Response (ITDR) che possono offrirti tranquillità. Le soluzioni ITDR di Netwrix ti aiutano a identificare potenziali minacce fornendo allarmi in tempo reale. Una volta identificate, queste soluzioni ti aiutano a chiudere rapidamente e automaticamente le minacce con playbook preimpostati. Infine, Netwrix facilita un processo di recupero rapido per la tua rete ripristinandola allo stato precedente all'attacco.

Hai bisogno di una soluzione proattiva per prevenire le vulnerabilità SMBv3?Contattaci oggi per scoprire come possiamo aiutarti.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Kevin Joyce

Direttore della Product Management

Direttore di Product Management presso Netwrix. Kevin ha una passione per la sicurezza informatica, in particolare per comprendere le tattiche e le tecniche che gli aggressori utilizzano per sfruttare gli ambienti delle organizzazioni. Con otto anni di esperienza nel product management, concentrandosi su Active Directory e la sicurezza di Windows, ha trasformato quella passione nell'aiutare a costruire soluzioni per le organizzazioni per proteggere le loro identità, infrastrutture e dati.

Scopri di più su questo argomento

Individuazione di permessi di Active Directory sfruttabili con BloodHound

Servizi certificati AD: Impostazioni rischiose e loro rimedio

Cos'è un attacco DCSync?

How to Prevent Cyber Attacks: Strategies and Best Practices

Cyber Attacks nel 2023: Principali Incidenti e le Lezioni Apprese per il 2025

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza