Pochi giorni dopo il rilascio della patch mensile degli aggiornamenti di sicurezza di Windows, Microsoft ha emesso un aggiornamento di emergenza “extra” per gli utenti di Windows 10 in risposta alla notizia di una vulnerabilità critica scoperta di recente.Microsoft ha invitato gli utenti di Windows 10 a “prendere provvedimenti” , ovvero ad installare l’aggiornamento di protezione fuori banda per CVE-2020-0796. Una vulnerabilità critica, denominata SMBGhost o EternalDarkness, influisce sul protocollo di comunicazioni di rete Server Message Block (SMB). Sì, il protocollo che consente l’accesso condiviso a file e stampanti, nonché alle porte seriali. Lo stesso protocollo SMB che è stato sfruttato da NSA con EternalBlue, dall’effetto estremamente devastante durante gli attacchi di WannaCry nel 2017.Kieran Roberts, responsabile dei test di penetrazione presso Bulletproof, ha dichiarato che “SMB è il protocollo utilizzato per la condivisione di file, ed è lo stesso protocollo vulnerabile all’exploit EternalBlue (CVE-2017-0144) che era usato nel ransomware di WannaCry. Sembra che questa nuova vulnerabilità abbia molti degli stessi segni distintivi di EternalBlue, il che significa che questa nuova vulnerabilità potrebbe provocare una ripresa di attacchi di ransomware come WannaCry e NotPetya, che hanno entrambi usato l’exploit EternalBlue molto simile.”Come è avvenuta la perdita CVE-2020-0796?Il motivo per cui SMBGhost è stato divulgato sembrerebbe essere per un errore di comunicazione nel processo di patching e divulgazione che ha portato alcuni esperti a pensare che CVE-2020-0796 avrebbe incluso una correzione nella patch rilasciata martedì scorso. Ne hanno poi pubblicato accidentalmente i dettagli nei blog di riepilogo degli aggiornamenti e sebbene tali divulgazioni siano state rapidamente rimosse, i dettagli si sono rapidamente diffusi sui social media, in particolare all’interno della comunità dell’Infosecurity online.Cosa ha detto Microsoft sulla vulnerabilità di SMBGhost?La vulnerabilità si trova nel protocollo di comunicazione di rete SMB 3.0 e se sfruttata con successo da un utente male intenzionato potrebbe consentire l’esecuzione di codice in remoto e arbitrario e potenzialmente assumere il controllo del sistema. Microsoft ha dichiarato di non aver “osservato nessun attacco che sfrutta questa vulnerabilità”, ma ha raccomandato agli utenti di “applicare questo aggiornamento ai dispositivi interessati con priorità”. Tuttavia, ci sono già stati exploit di prova sviluppati da ricercatori della sicurezza. Il che probabilmente significa che è solo una questione di tempo, un periodo di tempo molto breve, prima che i sistemi senza patch inizino a essere sfruttati dagli hacker.Cosa è necessario fare oraLa buona notizia per gli utenti di Windows 10 è che, supponendo che siano abilitati gli aggiornamenti automatici, non saranno necessarie ulteriori azioni, in quanto il sistema applicherà la patch per proteggere da qualsiasi exploit di questa vulnerabilità critica. Tuttavia, se gli aggiornamenti automatici sono disabilitati, sarà necessario aggiornarli manualmente e il prima possibile. Microsoft ha affermato che è importante sottolineare che l’aggiornamento KB4551762 deve essere applicato anche se sono stati installati gli aggiornamenti di martedì scorso. Allo stesso modo, se sono state implementate le misure alternative per disabilitare la compressione SMBv3 nell’Advisory Microsoft sulla sicurezza ADV200005, bisogna comunque installare questo aggiornamento fuori banda. Se non è possibile applicare l’aggiornamento, tale soluzione alternativa è comunque consigliata agli amministratori dell’organizzazione che dovrebbero anche bloccare la porta TCP 445 sul perimetro della rete. Tutti gli altri dovrebbero utilizzare Windows Update per verificare la presenza di aggiornamenti e avviare il processo di installazione se necessario o scaricare la patch di aggiornamento KB4551762 direttamente dal catalogo di Microsoft Update.Quali versioni di Windows sono interessate?Le seguenti versioni di Windows 10 sono interessate da questa vulnerabilità:Windows 10 versione 1903 per sistemi a 32 bitWindows 10 versione 1903 per sistemi basati su ARM64Windows 10 versione 1903 per sistemi basati su x64Windows 10 versione 1909 per sistemi a 32 bitWindows 10 versione 1909 per sistemi basati su ARM64Windows 10 versione 1909 per sistemi basati su x64E anche:Windows Server, versione 1903 (installazione Server Core)Windows Server, versione 1909 (installazione Server Core) 13 marzo 2020
Fonte Fastweb.it