Aggiornamento del 12 marzo
È emersa da poco un avviso riguardo una vulnerabilità RCE dal nome CVE-2020-0796 che interessa i sistemi operativi Windows 10 e Windows Server e che riguarda il protocollo Microsoft Server Message Block 3.1.1 (SMBv3). Secondo Microsoft, un cybercriminale potrebbe sfruttare questa vulnerabilità per eseguire un codice arbitrario sia sul server SMB, sia sul client SMB. Per attaccare il server, solo basta inviarvi un pacchetto creato ad hoc. Per quanto riguarda il client, i cybercriminali devono configurare un server SMBv3 dannoso e persuadere l’utente a connettervisi.
Gli esperti in cybersecurity ritengono che la vulnerabilità possa essere utilizzata per diffondere un worm simile a WannaCry. Per Microsoft si tratta di una vulnerabilità grave, da risolvere il prima possibile.
Chi è in pericolo per via di questa vulnerabilità?
Il protocollo di rete SMB serve per l’accesso remoto a file, stampanti e altre risorse di rete. Viene utilizzato per implementare le funzionalità Microsoft Windows Network e Condivisione File e Stampanti. Se la vostra azienda utilizza queste funzionalità, avete motivi per preoccuparvi di questa nuova vulnerabilità in Microsoft.
Microsoft Server Message Block 3.1.1 è un protocollo relativamente recente, utilizzato solo su sistemi operativi nuovi:
- Windows 10 Version 1903 per sistemi a 32-bit
- Windows 10 Version 1903 per sistemi ARM64-based
- Windows 10 Version 1903 per sistemi x64-based
- Windows 10 Version 1909 per sistemi a 32-bit Systems
- Windows 10 Version 1909 pers sistemi ARM64-based
- Windows 10 Version 1909 per sistemi x64-based
- Windows Server, versione 1903 (installazione Server Core)
- Windows Server, versione 1909 (installazione Server Core)
La vulnerabilità nel protocollo SMB non riguarda Windows 7, 8, 8.1 o versioni precedenti. Tuttavia, la maggior parte dei computer moderni con installazione automatica degli aggiornamenti funziona utilizzando Windows 10 per cui è probabile che molti computer, aziendali o di uso privato, possano essere soggetti alla vulnerabilità.
I cybercriminali stanno sfruttano la vulnerabilità CVE-2020-0796?
Secondo Microsoft, la vulnerabilità CVE-2020-0796 non è stata ancora utilizzata per perpetrare attacchi, o per lo meno non sono ancora stati trovati. Il problema è che non esiste ancora una patch per la vulnerabilità CVE-2020-0796 e la notizia è di pubblico dominio dal 10 marzo scorso, per cui potrebbero apparire exploit in qualsiasi momento (se non sono già in circolazione).
Cosa fare?
Aggiornamento del 12 marzo: Microsoft ha rilasciato un aggiornamento di sicurezza per questa vulnerabilità. È possibile scaricarlo qui.
Nel caso non si potesse installare la patch, è necessario chiudere la vulnerabilità, il che richiede un certo lavoro da parte dell’utente. Microsoft suggerisce di fare quanto segue per evitare che qualcuno possa sfruttare questa vulnerabilità.
Per i server SMB:
- Potete bloccare la possibilità di sfruttare la vulnerabilità utilizzando un comando PowerShell:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters” DisableCompression -Type DWORD -Value 1 –Force
Per i clienti SMB:
- Come nel caso di WannaCry, Microsoft suggerisce di bloccare la porta TCP 445 a livello di firewall di perimetro aziendale.
Inoltre, assicuratevi di avvalervi di una soluzione di sicurezza affidabile come Kaspersky Endpoint Security for Business. Tra le altre tecnologie, impiega un sottosistema di prevenzione degli exploit che protegge gli endpoint anche da vulnerabilità sconosciute.