{"id":390393,"date":"2024-12-11T09:41:06","date_gmt":"2024-12-11T09:41:06","guid":{"rendered":"https:\/\/www.ninjaone.com\/?post_type=content_hub&#038;p=390393"},"modified":"2025-04-09T13:29:27","modified_gmt":"2025-04-09T13:29:27","slug":"attacco-golden-ticket","status":"publish","type":"content_hub","link":"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/attacco-golden-ticket\/","title":{"rendered":"Cos&#8217;\u00e8 l&#8217;attacco Golden Ticket"},"content":{"rendered":"<p>Nel mondo della\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-la-cybersecurity\/\">cybersecurity<\/a>, una frase che non si vuole mai incontrare \u00e8 l&#8217;inquietante &#8220;golden ticket&#8221;. Anzich\u00e9 garantire l&#8217;accesso a infinite prelibatezze, un\u00a0<strong>attacco golden ticket<\/strong>\u00a0al tuo ambiente IT \u00e8 un lasciapassare per grandi mal di testa e gravi rischi per la sicurezza.<\/p>\n<p>Come la sua ispirazione letteraria, un attacco golden ticket concede agli\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-un-threat-actor\/\">attori delle minacce<\/a>\u00a0il diritto di accedere al dominio della tua organizzazione (come i dispositivi e i controller di dominio), attraverso i dati archiviati in\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/gestione-degli-endpoint\/what-is-active-directory\/\">Microsoft Active Directory<\/a>\u00a0(AD). Si tratta di uno dei pi\u00f9 gravi attacchi informatici che sfruttano le vulnerabilit\u00e0 di sicurezza di\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/gestione-dei-servizi-it\/what-is-kerberos\/\">Kerberos<\/a>, consentendo ai malintenzionati di bypassare i normali processi di autenticazione.<\/p>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Garantisci la sicurezza degli endpoint attraverso la nota piattaforma NinjaOne.<\/p>\n<p style=\"text-align: center;\">\u2192\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/sicurezza-degli-endpoint\/\">Scopri di pi\u00f9 sulla sicurezza degli endpoint di NinjaOne.<\/a><\/p>\n<\/div>\n<h2>Come funziona un attacco golden ticket?<\/h2>\n<p>Nel libro\u00a0<em>Charlie e la Fabbrica di Cioccolato<\/em>, un golden ticket offre la rara opportunit\u00e0 di entrare in una terra sconosciuta, piena di golosit\u00e0, cioccolatini e strane e buffe creature. Tuttavia, come\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-un-cyberattacco\/\">cyberattacco<\/a>, un golden ticket elimina la necessit\u00e0 di richieste multiple di credenziali in AD, assegnando invece un ticket a un malintenzionato per un accesso illimitato. Una volta entrato, un malintenzionato sfrutta qualsiasi\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-una-vulnerabilita-di-sicurezza\/\">vulnerabilit\u00e0 di sicurezza<\/a>\u00a0e pu\u00f2 iniziare a provocare il caos che intende fare.<\/p>\n<p>Sebbene esistano vari metodi per effettuare un attacco golden ticket, esso segue in genere quattro fasi principali.<\/p>\n<p><img fetchpriority=\"high\" decoding=\"async\" class=\"size-full wp-image-386936 aligncenter\" src=\"https:\/\/www.ninjaone.com\/wp-content\/uploads\/2024\/12\/N1-0921-What-is-a-Golden-Ticket-Attack_-graphic-ITA.png\" alt=\"Che cos'\u00e8 un attacco Golden Ticket?\" width=\"808\" height=\"581\" \/><\/p>\n<ul>\n<li><strong>Ottenere l&#8217;accesso:<\/strong>\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/esempi-di-email-di-phishing\/\">Le e-mail di phishing<\/a>\u00a0sono spesso utilizzate innanzitutto per ottenere l&#8217;accesso a un sistema. I criminali informatici utilizzeranno quindi l&#8217;attacco di phishing per raccogliere informazioni su AD e Kerberos nel sistema sfruttato.<\/li>\n<li><strong>Rubare l&#8217;hash NTML:<\/strong>\u00a0Una volta che un malintenzionato ha accesso al tuo account, tenter\u00e0 di rubare quattro informazioni: l&#8217;FQDN (<a href=\"https:\/\/www.ninjaone.com\/blog\/fully-qualified-domain-name\/\">fully qualified domain name<\/a>), il SID (security identifier) del dominio, il nome utente dell&#8217;account che desidera sfruttare e\u00a0l&#8217;<a href=\"https:\/\/www.ninjaone.com\/it\/script-hub\/impostare-una-autenticazione-ntlm-con-powershell-2\/\">hash NTML<\/a>\u00a0dell&#8217;account KRBTGT di Active Directory utilizzando vari metodi come\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-lo-stuffing-delle-credenziali\/\">stuffing delle credenziali<\/a>,\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-il-dumping-delle-credenziali\/\">dumping delle credenziali<\/a>, Pass-the-Hash e persino\u00a0<a href=\"https:\/\/www.ninjaone.com\/it-hub\/sicurezza-degli-endpoint\/what-is-a-brute-force-attack\/\">brute force<\/a>.<\/li>\n<li><strong>Lancio dell&#8217;attacco:<\/strong>\u00a0Il malintenzionato riceve un Ticket-Granting Ticket (TGT) Kerberos, un piccolo file di identificazione crittografato con un periodo di validit\u00e0 limitato. Utilizzer\u00e0 il TGT per ottenere un accesso illimitato alle risorse di Active Directory.<\/li>\n<li><strong>Mantenere l&#8217;accesso:\u00a0<\/strong>I malintenzionati prenderanno quindi provvedimenti per assicurarsi di mantenere l&#8217;accesso al proprio TGT. Ci\u00f2 pu\u00f2 includere la generazione di diversi TGT uno dopo l&#8217;altro per sfuggire al rilevamento.<\/li>\n<\/ul>\n<h2>Prevenire un attacco golden ticket<\/h2>\n<p>Gli attacchi Golden Ticket sono difficili da individuare, ma fortunatamente sono facili da prevenire. Ecco alcuni suggerimenti che ti consigliamo:<\/p>\n<h3>Cambia regolarmente la password dell\u2019account KRBTGT<\/h3>\n<p>La difesa pi\u00f9 semplice contro gli attacchi golden ticket consiste nell&#8217;impedire che accedano ad Active Directory. La modifica della password KRBTGT non impedisce agli hacker di creare golden ticket, ma pu\u00f2 invalidare quelli gi\u00e0 presenti nei tuoi sistemi.<\/p>\n<p>\u00c8 inoltre opportuno cambiare la password in caso di circostanze particolari, come ad esempio in caso di cambio di gestione o di stakeholder interessati. Anche quando elimini il loro account con privilegi, potrebbero ancora avere i TGT e diventare una\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/minaccia-insider-definizione-tipi\/\">minaccia interna<\/a>.<\/p>\n<h3>Riduci al minimo il numero di account che possono accedere all&#8217;hash della password di KRBTGT<\/h3>\n<p>\u00c8 qui che dovresti impiegare la strategia di\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/cos-e-l-accesso-con-minimo-privilegio\/\">accesso con il minimo privilegio<\/a>.\u00a0 Assicurati che i dati sensibili (come gli hash delle password KRBTGT) siano visibili e accessibili solo agli utenti appropriati.<\/p>\n<h2>Monitora le attivit\u00e0 sospette<\/h2>\n<p>\u00c8 essenziale istruire il tuo team IT a individuare attivit\u00e0 insolite che possano suggerire un attacco golden ticket in corso. Tali indizi possono includere:<\/p>\n<ul>\n<li><strong>TGT a lunga durata:\u00a0<\/strong>I TGT tipici hanno una durata di circa 8-10 ore. Tuttavia, se si nota un ticket Kerberos che supera la policy del dominio per la durata massima del ticket, ci\u00f2 pu\u00f2 suggerire una vulnerabilit\u00e0 di Kerberos.<\/li>\n<li><strong>Attivit\u00e0 di replica insolita del dominio:\u00a0<\/strong>Questo potrebbe segnalare che qualcuno sta tentando di rubare gli hash delle password.<\/li>\n<li><strong>Modifiche negli script PowerShell:<\/strong>\u00a0Cerca qualsiasi modifica sospetta negli script (in particolare nei\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/elenco-di-comandi-essenziali-di-windows-powershell\/\">comandi PowerShell<\/a>) in esecuzione sui controller di dominio.<\/li>\n<\/ul>\n<div class=\"in-context-cta\"><p style=\"text-align: center;\">Scopri tutto ci\u00f2 che devi sapere su PowerShell con un corso intensivo di 30 minuti di NinjaOne.<\/p>\n<p style=\"text-align: center;\"><a href=\"https:\/\/go.ninjaone.com\/powershell-for-it-ninjas-content\" target=\"_blank\" rel=\"noopener\">Inizia a imparare oggi stesso gratuitamente.<\/a><\/p>\n<\/div>\n<ul>\n<li><strong>Privilegi non autorizzati:<\/strong>\u00a0Presta molta attenzione se il privilegio di debug viene improvvisamente attivato.<\/li>\n<\/ul>\n<h3>Lavora con un hacker etico certificato<\/h3>\n<p>Un\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/it-hub\/sicurezza-degli-endpoint\/certified-ethical-hacker\/\">hacker etico certificato<\/a> collabora con la tua organizzazione per scoprire le potenziali vulnerabilit\u00e0 del tuo sistema. Poich\u00e9 un attacco golden ticket \u00e8 notoriamente difficile da risolvere una volta che ha causato il danno, \u00e8 essenziale dare priorit\u00e0 alla prevenzione. Utilizzando le stesse tecniche e gli stessi strumenti degli hacker malintenzionati, un hacker etico pu\u00f2 aiutarti a costruire un framework di cybersecurity pi\u00f9 forte e resistente.<\/p>\n<h3>Utilizza la protezione degli endpoint<\/h3>\n<p>\u00c8 opportuno utilizzare una soluzione software di gestione degli endpoint all-in-one con\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/blog\/endpoint-sicurezza-spiegato\/\">sicurezza degli endpoint<\/a> integrata. In questo modo \u00e8 possibile ridurre significativamente il rischio di accesso al tuo ambiente IT da parte di una minaccia. Nel caso in cui una vulnerabilit\u00e0\u00a0<em>venga<\/em>\u00a0sfruttata, uno strumento di gestione degli endpoint, come\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/sicurezza-degli-endpoint\/\">NinjaOne<\/a>, \u00e8 in grado di implementare le misure di rimedio necessarie per ridurre l&#8217;impatto organizzativo.<\/p>\n<h2>NinjaOne rafforza la sicurezza dei dispositivi per ridurre i rischi<\/h2>\n<p>NinjaOne riduce le vulnerabilit\u00e0 della sicurezza grazie al suo\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/gestione-endpoint\/\">software di gestione degli endpoint<\/a>\u00a0all-in-one con funzionalit\u00e0 di\u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/rmm\/sicurezza-degli-endpoint\/\">sicurezza degli endpoint<\/a>\u00a0integrate. Considerato affidabile da pi\u00f9 di 20.000 clienti in tutto il mondo, NinjaOne non solo riduce la complessit\u00e0 del tuo ambiente IT, ma migliora la visibilit\u00e0 e il controllo per identificare e correggere rapidamente, su larga scala, le vulnerabilit\u00e0 basate su patch.<\/p>\n<p>Se sei pronto, richiedi un \u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/prezzi-per-dispositivo\/\">preventivo gratuito<\/a>, iscriviti a una \u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/endpoint-management-free-trial\/\">prova gratuita<\/a> di 14 giorni o \u00a0<a href=\"https:\/\/www.ninjaone.com\/it\/gestione-degli-endpoint-demo-gratuita\/\">guarda una demo<\/a>.<\/p>\n","protected":false},"author":152,"featured_media":0,"parent":0,"template":"","meta":{"_acf_changed":false,"_relevanssi_hide_post":"","_relevanssi_hide_content":"","_relevanssi_pin_for_all":"","_relevanssi_pin_keywords":"","_relevanssi_unpin_keywords":"","_relevanssi_related_keywords":"","_relevanssi_related_include_ids":"","_relevanssi_related_exclude_ids":"","_relevanssi_related_no_append":"","_relevanssi_related_not_related":"","_relevanssi_related_posts":"","_relevanssi_noindex_reason":"","_lmt_disableupdate":"no","_lmt_disable":""},"hub_categories":[4186],"class_list":["post-390393","content_hub","type-content_hub","status-publish","hentry","content_hub_category-sicurezza-degli-endpoint"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/content_hub\/390393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/content_hub"}],"about":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/types\/content_hub"}],"author":[{"embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/users\/152"}],"wp:attachment":[{"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/media?parent=390393"}],"wp:term":[{"taxonomy":"content_hub_category","embeddable":true,"href":"https:\/\/www.ninjaone.com\/it\/wp-json\/wp\/v2\/hub_categories?post=390393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}