Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Giu 08, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 1
A quasi un mese di distanza dall’attacco di WannaCry, sappiamo che la sua diffusione è stata arginata da diversi fattori. Uno di questi, e forse il più importante, è stato il fatto che l’exploit usato per diffondere il ransomware non era compatibile con tutte le versioni di Windows.
Nei suoi attacchi WannaCry ha utilizzato un exploit sviluppato dall’NSA (EternalBlue) che era in grado di colpire soltanto le versioni dei sistemi operativi Microsoft precedenti a Windows 10.
Non solo: come hanno potuto rilevare in seguito i ricercatori, la sua efficacia era molto ridotta anche per quanto riguarda le macchine con XP, sulle quali riusciva a installare il ransomware ma non a usare le macchine infettate come “trampolino di lancio” per colpire altri computer.
Anche con tutti questi limiti, però, WannaCry (e altri malware che al suo pari sfruttano EternalBlue per diffondersi) è riuscito a colpire centinaia di migliaia di computer. Cosa sarebbe successo se fosse stato in grado di attaccare con la stessa efficacia il 100% delle macchine Windows?
La domanda non si pone solo sul piano teorico. Considerato infatti che il codice di EternalBlue è ormai di pubblico dominio (al punto di essere stato integrato nel celebre pacchetto di strumenti di hacking Metasploit) la possibilità che qualcuno lo sfrutti per realizzarne una versione più evoluta è terribilmente concreta.
A porsi il problema sono stati Sean Dillon e Dylan Davisè, due ricercatori di RiskSense che hanno scoperto come EternalBlue possa essere modificato per colpire anche Windows 10.
Nel loro report, i due ricercatori spiegano che con qualche modifica lo strumento che sfrutta la vulnerabilità del Server Message Block per avviare l’esecuzione di codice in remoto si dimostra efficace anche con l’ultima versione del sistema operativo Microsoft.
Non tutte, ovviamente: a essere vulnerabili sono solo quelle che non sono state aggiornate con l’update MS17-010 realizzato da Microsoft per “tappare” la falla sfruttata da EternalBlue. La notizia, purtroppo, non è poi così rassicurante.
Come si è potuto verificare in decine di occasioni negli scorsi mesi, l’idea che la maggioranza delle macchine utilizzi sistemi operativi aggiornati è una pia illusione.
La ricerca di Dillon e Davisè, inoltre, pone un altro problema. Fino a oggi, tutti i malware che hanno utilizzato EternalBlue per diffondersi lo hanno fatto utilizzando la stessa strategia pensata dagli agenti dell’NSA nello sviluppo dei loro strumenti di hacking, cioè l’uso in abbinata con un secondo tool chiamato DoublePulsar.
Come fanno notare i due analisti, la maggior parte degli strumenti di rilevazione messi a punto per individuare questo tipo di attacco in realtà non identificano EternalBlue, ma DoublePulsar.
Peccato che nel “rimaneggiare” l’exploit, Dillon e Davisè sono riusciti a metterne a punto una versione che non usa DoublePulsar e, di conseguenza, non viene rilevato dalla maggior parte dei software di sicurezza.
Nel loro report, naturalmente, i due ricercatori evitano di fornire tutti i dettagli tecnici che possono essere utili a eventuali pirati informatici per riprodurre il loro esperimento, ma si limitano a fornire le informazioni che permetteranno (o dovrebbero permettere) di sviluppare le contromisure necessarie per evitare ulteriori possibili guai.
Mar 15, 2024 0
Mar 07, 2024 0
Mar 06, 2024 0
Mar 01, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...
One thought on “Ora EternalBlue funziona anche con Windows 10”