▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

100.000 computer ancora vulnerabili a SMBGhost

Nonostante la patch sia disponibile da marzo 2020, ci sono ancora migliaia di computer soggetti alla vulnerabilità SMBGhost.

Business Vulnerabilità
Più di 100.000 computer sono ancora vulnerabili alla falla critica di Microsoft Server Message Block (SMB) per la quale è stata pubblicata la patch a marzo. Battezzata SMBGhost o CoronaBlue e identificata dal codice CVE-2020-0796, questa falla era stata oggetto di una forte campagna mediatica per incentivare la tempestiva installazione delle patch.

In assenza di patch, infatti, i cyber criminali possono eseguire codice da remoto sui sistemi Windows 10 e Windows Server 2019 (versioni 1903 e 1909) che sfruttano la versione 3.1.1 del protocollo Microsoft Server Message Block (SMB), lo stesso preso di mira dal ransomware WannaCry nel 2017.

L'allarme è stato ripreso da ESET, a seguito della pubblicazione del ricercatore Jan Kopriva sul SANS ISC Infosec Forums. Jan ha condotto un test molto semplice: ha usato Shodan per scansionare la rete alla ricerca di dispositivi vulnerabili a questa falla.

Ricordiamo che Shodan è un motore molto usato dalla criminalità per automatizzare la ricerca di dispositivi esposti collegati alla rete, compresi tutti quelli IoT. Automatizza il lavoro, tagliando i tempi di individuazione delle potenziali vittime.

smbghost global
Il ricercatore riferisce di non sapere "quale metodo usi Shodan per determinare se una certa macchina è vulnerabile a SMBGhost, ma se il suo meccanismo di rilevamento è preciso, sembrerebbe che ci siano ancora oltre 103.000 computer interessati e accessibili da Internet. Ciò significherebbe che una macchina vulnerabile si nasconde dietro circa l'8% di tutti gli IP che hanno la porta 445 aperta".

Vale la pena ricordare che la vulnerabilità SMBGhost è classificata come critica, con un punteggio di 10 sulla scala Common Vulnerability Scoring System (CVSS). La gravità è tale che quando fu scoperta Microsoft non attese il tradizionale patch Tuesday per pubblicare la correzione, ma rilasciò la patch out-of-band.

In quell'occasione Microsoft spiegò che "Per sfruttare la vulnerabilità contro un server, a un attaccante non autenticato basterebbe inviare un pacchetto ad hoc a un server SMBv3. Per sfruttare la vulnerabilità nei confronti di un client, lo stesso cyber criminale dovrebbe configurare un server SMBv3 dannoso e convincere un utente a connettersi a esso".

Era il mese di marzo e la situazione era tutto sommato accettabile. Tre mesi dopo è stato pubblicato il primo Proof-of-Concept (PoC), che ha spinto la CISA e altri enti statali a caldeggiare l'installazione della patch. Questo è l'ennesimo appello, che si spera venga ascoltato.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter