Il virus WannaCry ancora una volta ci insegna l'importanza di avere sistemi operativi aggiornati.
Sono passati diversi giorni ed ancora il contagio prosegue indisturbato! WannaCry da Venerdì 12 Maggio ha iniziato la sua diffusione su milioni di macchine, cavalcando la connessione web e sfruttando una falla sui sistemi Windows, nota da diverse settimane e già risolta con una patch rilasciata da Microsoft stessa ancora a Marzo.
WannaCry è un virus di tipo ransomware, ossia cifra i dati e chiede un riscatto per poterli avere ancora leggibili: concretamente gli "hacker" in cambio di denaro rilasciano una chiave di decrittazione che permetta la decodifica dei dati.
Come già anticipato, WannaCry sfrutta una vulnerabilità di Windows: per i più tecnici diciamo che c’è una falla nel protocollo SMB di alcuni sistemi operativi Microsoft, attaccabile attraverso la porta 445.
Una vulnerabilità per cui Microsoft aveva rilasciato nel mese di Marzo una patch ad hoc, quindi non è certo una vulnerabilità zero-day, ma nonostante questo, è riuscita ad infettare milioni di macchine.
Da cosa è dipesa questa epidemia? Semplice... dal mancato aggiornamento dei sistemi operativi!!!
COME HA FUNZIONATO IL CONTAGIO DI WANNACRY
Come avrete certamente letto in tutte le testate giornalistiche, in poche ore WannaCry ha messo in ginocchio enti pubblici ed aziende private che sono state costrette, in molti casi, a interrompere l’erogazione dei propri servizi.
Come mai in poco tempo sono stati tanto numerosi gli attacchi? Fondamentalmente perché i sistemi operativi vulnerabili (quelli che non hanno installato la patch) sono numerosi.
Questo virus infatti si propaga da solo da una rete locale all'altra via Internet cercando e sfruttando le condivisioni di rete SMB (il protocollo incriminato) raggiungibili direttamente da Internet.
E non è necessaria alcuna azione da parte dell'utente.
Quando il virus si installa su un PC inizia a propagarsi sfruttando la vulnerabilità sopra citata: è sufficiente quindi che venga infettato un solo PC in una rete locale per mettere a rischio tutti gli altri computer non aggiornati che sono presenti sulla stessa rete.
Pare che il numero di macchine esposte su Internet con "aperta" la porta 445 sia elevato, circa 2,3 milioni. Quindi è sufficiente attaccare queste macchine per trovare e colpire qualche sistema sprovvisto della patch.
Dei 2,3 milioni di macchine esposte su internet con la porta 445 aperta, ben 1,3 milioni hanno la vulnerabilità, ossia son sistemi non patchati.
Inoltre una volta che la vulnerabilità è entrata dentro una rete locale, la propagazione, attraverso il protocollo SMB (la versione “bacata”) avviene in un attimo, vista la diffusione dei sistemi operativi Windows e la scarsa attenzione all’installazione delle patch.
AGGIORNARE E' FONDAMENTALE... SEMPRE!
Cosa dovete fare per garantire la sicurezza dei vostri dati? Aggiornare, con consapevolezza, i sistemi operativi.
Prima di tutto va verificata la versione del sistema operativo in uso su ogni singola macchina, poi, se si rilevano versioni a rischio, deve essere eseguito un aggiornamento chirurgico del sistema: ogni macchina deve essere aggiornata con le opportune patch.
La gravità della falla è stata tale che Microsft, ben conscia del fatto che (purtroppo!) ci sono ancora in circolazione sistemi operativi non più supportati da anni dalla stessa Micrsoft, si è prodigata per rilasciare patch di sicurezza anche per questi sistemi "vintage". Parliamo di Windows XP, Vista e 2003.
Se avete uno qualsiasi di questi sistemi valutate SERIAMENTE di aggiornarlo ad un sistema supportato, perché il rischio per la sicurezza della vostra azienda è, in questo caso, elevatissimo! La stessa Microsoft invita TUTTI gli utenti con questi sistemi ad effettuare aggiornamenti a sistemi più recenti.
Ci piace sottolineare ancora una volta che il processo di aggiornamento è parte integrante e insostituibile di un corretto approccio alla sicurezza aziendale.
CONTATTACI SUBITO PER CONCORDARE L'ANALISI E L'AGGIORNAMENTO URGENTE DEI TUOI SISTEMI!
