Un difetto nelle versioni non patchate di Window 10 potrebbe rendere i computer vulnerabili a EternalBlue, il kernel remoto colpevole del recente attacco ransomware di WannaCry.
WannaCry ha messo a fuoco una vulnerabilità critica del Server Message Block (SMB) che Microsoft ha patchato con MS17-010 il 14 marzo 2017. Mentre i danni del ransomware erano perlopiù limitati ai computer che girano con Windows 7, una versione diversa di EternalBlue potrebbe infettare Windows 10.
I ricercatori di RiskSense hanno spogliato la versione originale di EternalBlue nei componenti essenziali e le parti considerate dei dati non sono necessarie per lo sfruttamento. Hanno scoperto che potrebbero ignorare le regole di rilevazione consigliate dai governi e dai fornitori di antivirus, dice Sean Dillon, senior search engineer di RiskSense.
Questa versione di EternalBlue, non utilizza il payload DoublePulsar comune tra gli altri exploit che sono stati rilasciati dal gruppo hacker. DoublePulsar è stato il principale impianto usato in WannaCry.
«Quel backdoor non è necessario», spiega Dillon, rilevando come sia pericoloso per le aziende concentrarsi esclusivamente su malware DoublePulsar. «Questo exploit potrebbe caricare direttamente il malware sul sistema senza bisogno di installare il backdoor».
EternalBlue fornisce un accesso remoto non credenziato alle macchine Windows senza l’aggiornamento della patch MS17-010. Anche se è difficile portare EternalBlue a versioni aggiuntive di Windows, non è impossibile. Le versioni di Windows 10 senza patch sono a rischio, nonostante il nuovo sistema operativo Microsoft riceve misure di sfruttamento che le versioni precedenti non ricevono.
Wannacry: a rischio anche Windows 10
La versione ridotta di EternalBlue può essere portata a versioni non patchate di Windows 10 e offrire payload. Un malware avanzato potrebbe essere in grado di indirizzarsi in qualsiasi computer Windows, diffondendo un attacco come WannaCry, spiega Dillon.
Vale la pena notare che WannaCry è stato un attacco brillante, spiega Dillon, e altri tipi di malware, come spyware bancari o di bitcoin, potrebbero muoversi più facilmente senza far accorgere l’utente.
«Questi possono infettare una rete e lo saprete solo dopo anni», dice Dillon. «È una minaccia per le organizzazioni che sono state colpite, come i governi e le corporazioni. Gli aggressori potrebbero cercare di accedere a queste reti e quindi rubare proprietà intellettuali o causare altri danni».
Dillon sottolinea l’importanza di aggiornare all’ultima versione di Windows 10, ma afferma che la patch da sola non garantirà una protezione completa da questo tipo di minaccia. Le imprese con SMB che usano Internet dovrebbero anche attivare i firewall e impostare le reti VPN per gli utenti che hanno bisogno di accesso esterno alla rete interna.