PRIVACY

Bollettino di Sicurezza n 14 13/05/17

15/05/2017
di Aspisec Srl

Propagazione incontrollata del ransomware “Wannacry”

Venerdì 12/05/17 ha visto la diffusione massiccia di un nuovo tipo d’infezione di tipologia “Ransomware”. Questa nuova infezione particolarmente virulente sfrutta una delle falle “SMB” , questa falla è stata ampiamente descritta nei carteggi Wikileaks del collettivo “Shadow Brokers”. Questo set d’istruzioni ha fatto si che attraverso il framework “Eternalblue” possa essere incapsulato e distribuito con molta facilità eludendo tutti i sistemi di controllo tradizionali. Una patch di sicurezza per i sistemi operativi Windows 7/8/8.1/10 è stata rilasciata il 14 Marzo 2017 a seguito della pubblicazione del materiale in possesso al collettivo “Shadow Brokers” la patch di riferimento è la “patch MS17-010” che risolve la vulnerabilità “ CVE-2017-0143” . La vulnerabilità permette attraverso i protocolli network SMB di eseguire del codice remoto, e quindi permette la possibilità di criptare i file attraverso dei script appositamente creati , come è di consuetudine nei ransomware poi viene richiesto un riscatto , che consiste nel rilascio della decrypt key per i vari file container criptati.

Sistemi affetti dalla vulnerabilità :

Windows Server 2016 Datacenter, Windows Server 2016 Essentials, Windows Server 2016 Standard, Windows 10, Windows 10 Version 1511, Windows 10 Version 1607, Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows 8.1, Windows RT 8.1, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Web Server 2008 R2, Windows Server 2008 R2 Foundation, Windows 7 Service Pack 1, Windows 7 Ultimate, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Home Premium, Windows 7 Home Basic, Windows 7 Starter, Windows Server 2008 Service Pack 2, Windows Server 2008 Foundation, Windows Server 2008 Standard, Windows Server 2008 for Itanium-Based Systems, Windows Web Server 2008, Windows Server 2008 Enterprise, Windows Server 2008 Datacenter, Windows Vista Service Pack 2, Windows Vista Home Basic, Windows Vista Home Premium, Windows Vista Business, Windows Vista Ultimate, Windows Vista Enterprise, Windows Vista Starter

Il SOC/CERT Team di Aspisec consiglia come linea guida primaria l’aggiornamento istantaneo alle più recenti versioni di Windows e di controllare e forzare gli ultimi aggiornamenti di sicurezza cumulativi.

Ove ciò non fosse possibile , consigliamo d’installare la security patch specifica che risolve la problematica, è possibile trovare la patch al seguente indirizzo:

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Ove non fosse possibile procedere con una patch specifica ne con un security roll generale consigliamo di disattivare i protocolli SMB manualmente:

1 - Digitare nella barra di ricerca generale “Powershell” (NB nei sistemi operativi con istruzioni a 32Bit Powershell sarà X86)

2 - Tasto destro su “Powershell”

3 - Selezionare Esegui come Amministratore

4 - Incollare ed eseguire il seguente comando:

 Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol 

5 - Premete “invio” 

6 - Riavviate il PC

- Come in figura: vedi immagine in evidenza -

Questa procedura è una procedura di carattere preventiva ed emergenziale che disabilità il servizio SMB che permette al ransomware “Wannacry” di eseguire codice malevolo da remoto, consigliamo comunque un aggiornamento costante delle piattaforme di lavoro e di evangelizzare sul utilizzo di soluzioni tecnologiche quali HIDS (ove non presenti) e di sensibilizzare gli utenti a diffidare di mail sospette che possono rappresentare vettori infettivi.

Per qualsiasi ulteriore chiarimento il Security Operation Center di Aspisec è contattabile 24 ore su 24 al indirizzo mail :

soc@aspisec.com

 

Roma 13/05/2017                                                          Aspisec Security Operation Center


← Torna all’elenco
Disclaimer: alcune foto ed immagini pubblicate sul sito sentieridigitali.it sono tratte da Internet, e pertanto il sito non ne detiene alcun diritto di autore.
Qualora il soggetto ritratto o il detentore dei diritti sia contrario alla pubblicazione, lo segnali, via mail redazione@sentieridigitali.it oppure via tel. 06-5196.6778; la redazione provvedera' tempestivamente a rimuovere il materiale indicato.

© 2007-2016 Sentieri Digitali - Reg. Trib di Roma n. 538/07
Una iniziativa editoriale di SI-IES Istituto Europeo Servizi srl
P. Iva 04032171003