Attacco WannaCry: il ransomware sfrutta la falla risolta con l'aggiornamento MS17-010

L'attacco ransomware che ha messo in ginocchio anche aziende ed enti dal nome altisonante sfrutta l'assenza della patch Microsoft MS17-010, rilasciata a metà marzo scorso. Considerata la gravità del problema, Microsoft ha reso disponibili anche gli aggiornamenti di sicurezza destinati alle versioni di Windows non più supportate: Windows XP e Windows Server 2003.

Ne stanno parlando tutti i media. È in corso un attacco a livello mondiale che ha portato alla rapida diffusione del ransomware WannaCryptor.
L’aggressione ha interessato non soltanto i PC degli utenti finali ma anche i sistemi di aziende e di enti governativi.

Come è potuto succedere? La risposta è semplice: il malware ha bersagliato sistemi Windows non aggiornati con le ultime patch rilasciate da Microsoft e ha avuto gioco facile in quegli scenari in cui i sistemi server più importanti non risultavano adeguatamente isolati.


Il vettore di infezione è generalmente un file allegato malevolo: avviandolo si apre la porta all’attacco e si provoca l’esecuzione del codice che sovrintende il funzionamento del ransomware.

Il malware WannaCryptor (conosciuto anche come WannaCry, WCry o WanaCrypt0r), rientra anche nella categoria dei worm: è cioè in grado di autoreplicarsi e diffondersi automaticamente su altri sistemi vulnerabili.

Una volta che il codice malevolo va in esecuzione, questo provvede a scandagliare la rete alla ricerca di altri sistemi ugualmente attaccabili. “Le prede” sono le macchine Windows sprovviste dell’aggiornamento di sicurezza MS17-010 che Microsoft ha distribuito a partire dal 14 marzo scorso.

Tutte le macchine Windows sprovviste della patch MS17-010 sono quindi potenzialmente aggredibili. Non soltanto i sistemi Windows più vecchi, ma anche quelli di più recente fattura.

Il fatto che l’attacco di WannaCryptor abbia avuto questo successo, implica che all’interno delle reti di aziende ed enti di fama mondiale i sistemi dei dipendenti non sono adeguatamente separati dalle macchine server e che la porta usata dal servizio di condivisione SMB1.0/CIFS era stata evidentemente lasciata aperta.
Gli incidenti che si sono evidenziati, suggeriscono l’assenza di misure di protezione a livello di endpoint, l’uso di configurazioni firewall inadeguate, di policy di sicurezza inefficaci e di lacune anche sulla configurazione della rete (VLAN queste sconosciute: VLAN: cosa sono, come usarle e perché).
Non è concepibile che un attacco originatosi in seguito – ad esempio – all’apertura di un allegato malevolo da parte di un dipendente o di un collaboratore possa bloccare l’intera infrastruttura aziendale e far crollare servizi indispensabili.

Coloro che hanno installato la singola patch MS17-010 oppure gli aggiornamenti cumulativi mensili di marzo, aprile o maggio per la versione di Windows in uso, sono al momento immuni a qualunque rischio di attacco.

A dimostrazione della gravità del problema, Microsoft ha rilasciato aggiornamenti ufficiali anche per i suoi sistemi non più supportati, come Windows XP e Windows Server 2003: sono scaricabili facendo riferimento a questa pagina.

La falla di sicurezza che è stata sfruttata è battezzata EternalBlue ed è venuta a galla esaminando il materiale informatico sottratto alla NSA statunitense.

Ti consigliamo anche

Link copiato negli appunti