Tecnologia

Vecchie versioni di Windows a rischio di vulnerabilità, c’è un nuovo WannaCry in circolazione

Si chiama BlueKeep la nuova minaccia informatica che si diffonde con lo stesso metodo dello spaventoso WannaCry. Agisce sulle vecchie versioni di Windows, e anche se non più supportate Microsoft ha diffuso le patch per arginare il problema: è caldeggiato installarle il prima possibile.

Le versioni più datate di Windows sono soggette a una vulnerabilità che è stata battezzata “BlueKeep”. Gli esperti lo definiscono un “wormable“, fusione dei termini worm e malware (software malevolo), e identifica un malware che sfrutta la vulnerabilità di un sistema per propagarsi ad altri sistemi vulnerabili. In pratica lo stesso metodo di propagazione di WannaCry, uno dei virus più devastanti di sempre.

Per questo l’Agenzia statunitense per la sicurezza informatica e la sicurezza delle infrastrutture (CISA) ha emesso un avviso in cui esorta tutti gli utenti che usano vecchie versioni di Windows a installare tutte le patch disponibili. Le edizioni di Windows a rischio sono: Windows 2000, Windows Vista, Windows XP, Windows 7, Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2, e tutte le relative revisioni del Service Pack.

Foto: Depositphotos

 

Nell’informativa ufficiale si legge che “un utente malintenzionato può sfruttare questa vulnerabilità per assumere il controllo di un sistema da remoto”, perché BlueKeep agisce all’interno del protocollo RDP (Remote Desktop Protocol) utilizzato dai sistemi operativi Microsoft Windows sopra elencati.

Secondo Microsoft, l’attacco potrebbe svilupparsi inviando pacchetti di dati appositamente predisposti a uno di questi sistemi operativi con RDP abilitato. Una volta recapitati i pacchetti, l’hacker potrebbe aggiungere account con diritti utente completi; visualizzare, modificare o eliminare dati; installare programmi. Non è necessaria l’interazione dell’utente.

Dato l’alto rischio, anche alcuni sistemi non sono più ufficialmente supportati, Microsoft ha pubblicato un Advisory sulla sicurezza e apposite patch, che sono da installare il prima possibile. Chi non avesse la possibilità di installare le patch o avesse in uso sistemi operativi che non dispongono di patch, farà bene a cambiare sistema operativo, oppure a disabilitare i servizi non indispensabili al fine di limitare l’esposizione alla vulnerabilità.

È consigliato altresì di abilitare l’autenticazione a livello di rete in Windows 7, Windows Server 2008 e Windows Server 2008 R2, per fare che ogni richiesta di sessione debba essere autenticata, nel tentativo di arginare l’infezione di BlueKeep. L’exploit infatti richiede una sessione non autenticata. Altra azione da fare, da parte degli amministratori di rete, è chiudere la TCP 3389 sul firewall aziendale (Block Transmission Control Protocol), che è quella utilizzata per avviare una sessione RDP. Chiuderla, ossia bloccarla, impedisce a un hacker di sfruttare BlueKeep dall’esterno della rete. Questa azione tuttavia non bloccherà le sessioni RDP e potrebbe non impedire l’avvio di sessioni non autenticate all’interno di una rete.