100.000 computer ancora vulnerabili a SMBGhost

Nonostante la patch sia disponibile da marzo 2020, ci sono ancora migliaia di computer soggetti alla vulnerabilità SMBGhost.

Business Vulnerabilità
Più di 100.000 computer sono ancora vulnerabili alla falla critica di Microsoft Server Message Block (SMB) per la quale è stata pubblicata la patch a marzo. Battezzata SMBGhost o CoronaBlue e identificata dal codice CVE-2020-0796, questa falla era stata oggetto di una forte campagna mediatica per incentivare la tempestiva installazione delle patch.

In assenza di patch, infatti, i cyber criminali possono eseguire codice da remoto sui sistemi Windows 10 e Windows Server 2019 (versioni 1903 e 1909) che sfruttano la versione 3.1.1 del protocollo Microsoft Server Message Block (SMB), lo stesso preso di mira dal ransomware WannaCry nel 2017.

L'allarme è stato ripreso da ESET, a seguito della pubblicazione del ricercatore Jan Kopriva sul SANS ISC Infosec Forums. Jan ha condotto un test molto semplice: ha usato Shodan per scansionare la rete alla ricerca di dispositivi vulnerabili a questa falla.

Ricordiamo che Shodan è un motore molto usato dalla criminalità per automatizzare la ricerca di dispositivi esposti collegati alla rete, compresi tutti quelli IoT. Automatizza il lavoro, tagliando i tempi di individuazione delle potenziali vittime.

smbghost global
Il ricercatore riferisce di non sapere "quale metodo usi Shodan per determinare se una certa macchina è vulnerabile a SMBGhost, ma se il suo meccanismo di rilevamento è preciso, sembrerebbe che ci siano ancora oltre 103.000 computer interessati e accessibili da Internet. Ciò significherebbe che una macchina vulnerabile si nasconde dietro circa l'8% di tutti gli IP che hanno la porta 445 aperta".

Vale la pena ricordare che la vulnerabilità SMBGhost è classificata come critica, con un punteggio di 10 sulla scala Common Vulnerability Scoring System (CVSS). La gravità è tale che quando fu scoperta Microsoft non attese il tradizionale patch Tuesday per pubblicare la correzione, ma rilasciò la patch out-of-band.

In quell'occasione Microsoft spiegò che "Per sfruttare la vulnerabilità contro un server, a un attaccante non autenticato basterebbe inviare un pacchetto ad hoc a un server SMBv3. Per sfruttare la vulnerabilità nei confronti di un client, lo stesso cyber criminale dovrebbe configurare un server SMBv3 dannoso e convincere un utente a connettersi a esso".

Era il mese di marzo e la situazione era tutto sommato accettabile. Tre mesi dopo è stato pubblicato il primo Proof-of-Concept (PoC), che ha spinto la CISA e altri enti statali a caldeggiare l'installazione della patch. Questo è l'ennesimo appello, che si spera venga ascoltato.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale

Come custodire al meglio i dati, dal backup in poi

Speciale

L'esigenza di una nuova cyber security

Speciale

Cloud Security: rischi e tecnologie per mettere in sicurezza il cloud

Speciale

Antimalware nel 2020: parola d'ordine Intelligenza Artificiale

Speciale

Sicurezza delle infrastrutture critiche nel 21mo secolo

Calendario Tutto

Dic 03
Dell Technologies Forum Italia 2020
Dic 10
Grande Slam 2020 Digital Edition

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori