0


La parola

Microsoft sta avvisando di un nuovo trio di vulnerabilità di Windows che sono "wormable", il che significa che queste vulnerabilità possono essere sfruttate per diffondere malware da un computer vulnerabile a un altro senza alcuna azione dell'utente in modo molto simile all'autoreplicazione Voglio piangere e NotPetya focolai avvenuti nel 2017.

Simile al cosiddetto La vulnerabilità di BlueKeep è stata patchata da Microsoft a maggio, i tre bug in cui la società ha riparato martedì risiedono Servizi di desktop remoto, che consente a un utente di assumere il controllo di un computer remoto o di una macchina virtuale tramite una connessione di rete. I bug: indicizzati come CVE-2019-1181, CVE-2019-1182, e CVE-2019-1222—Consentire agli autori di attacchi non autenticati di eseguire codice dannoso inviando un messaggio appositamente predisposto quando una protezione nota come autenticazione a livello di rete è disattivata, come spesso fanno molti amministratori di grandi organizzazioni.

In tali reti, è possibile che gli exploit rimbalzino da un computer all'altro. Lasciare NLA attivo rende più difficile la diffusione degli attacchi, poiché gli attaccanti devono prima avere le credenziali di rete. L'uso crescente di strumenti di hacking come Mimikatz, tuttavia, spesso consente agli aggressori di ottenere di nascosto le credenziali necessarie.

La gara ha inizio

A differenza di BlueKeep, che riguardava solo le versioni di Windows non supportate o quasi non supportate, i bug resi noti martedì riguardano le versioni più recenti, in particolare Windows 7, 8 e 10 e Server 2008, 2012, 2016 e 2019. flotta di computer potenzialmente più sensibile a rischio. Microsoft ha valutato la gravità delle vulnerabilità come 9,7 e 9,8 su un possibile 10. La società ha anche affermato che le possibilità di sfruttamento in natura sono "più probabili".

"Le vulnerabilità includono le ultime versioni di Windows, non solo le versioni precedenti come in BlueKeep", ha dichiarato Ars Beaumont, ricercatore indipendente per la sicurezza. “Ci sarà una corsa tra le organizzazioni per applicare patch ai sistemi prima che le persone decodifichino la vulnerabilità delle patch per imparare a sfruttarle. Il mio messaggio sarebbe: mantenere la calma e rattoppare. "

I computer Windows con l'aggiornamento automatico abilitato dovrebbero ricevere la patch entro poche ore se non lo hanno già fatto. L'installazione delle patch di Tuesday è il modo più efficace per garantire che i computer e le reti a cui sono connessi siano al sicuro dai worm che sfruttano le vulnerabilità appena descritte. Per le persone o le organizzazioni che non possono aggiornare immediatamente, una buona soluzione è "abilitare NLA e lasciarlo abilitato per tutti i sistemi esterni e interni", ha affermato Beaumont in un post sul blog.

Abilitare NLA non fornisce una difesa assoluta contro gli attacchi. Come notato in precedenza, gli aggressori che riescono a ottenere le credenziali di rete possono comunque sfruttare le vulnerabilità per eseguire il codice che preferiscono. Tuttavia, l'attivazione di NLA aumenta in modo significativo il requisito, poiché gli exploit possono bypassare completamente il meccanismo di autenticazione incorporato negli stessi Servizi Desktop remoto.

Indurisci l'RDS

Secondo a post sul blog pubblicato martedì dal direttore di Incident Response presso il Security Response Center di Microsoft Simon Pope, i ricercatori Microsoft hanno scoperto le vulnerabilità da sole durante una revisione della sicurezza progettata per rafforzare l'RDS. L'esercizio ha inoltre portato Microsoft a rilevare diverse vulnerabilità meno gravi in ​​RDS o nel protocollo Desktop remoto utilizzato per far funzionare RDS. Papa ha detto che non ci sono prove che nessuna delle vulnerabilità fosse nota a terzi.

L'esercizio è arrivato tre mesi dopo il patching di BlueKeep, che è stato segnalato a Microsoft dal National Cyber ​​Security Centre del Regno Unito. È possibile, anche se il Papa non ha dato alcuna indicazione, che la recensione è arrivata in risposta a quel suggerimento del NCSC.

Alcuni ricercatori sulla sicurezza hanno ipotizzato che la fonte originale del rapporto sulla vulnerabilità di BlueKeep fosse il quartier generale delle comunicazioni del governo, la controparte del Regno Unito presso la National Security Agency, come parte di un processo di equità delle vulnerabilità che richiede che i bug vengano divulgati una volta che il loro valore per la sicurezza nazionale è diminuito.

"Quindi sarà ironico se il VEP di GCHQ uccidesse un bug RDP perché interessava solo (sic) vecchie scatole ma poi MS controllava tutti i PSR e uccideva uno dei loro nuovi bug hotness", Dave Aitel, un ex hacker della NSA che ora dirige l'impresa di sicurezza Immunità scritto su Twitter. "(Un altro buon motivo per non uccidere i bug)."

Aitel in seguito ha riconosciuto la teoria “può essere totalmente pazzo! :)”

In ogni caso, i tre bug wormable divulgati martedì rappresentano una minaccia non solo per Internet ma per l'assistenza sanitaria, la spedizione, i trasporti e altre industrie che si basano su di essa. Gli amministratori e gli ingegneri farebbero bene a dedicare tutto il tempo necessario alla ricerca delle vulnerabilità per assicurarsi che non siano state sfruttate come WannaCry e NotPetya due anni fa.





VIA

Mirko Genovese
Mirko Genovese è nato a Palermo il 27 ottobre 1991. Appassionato di tecnologia e computer, consegue il diploma presso l’istituto tecnico commerciale “Libero Grassi”.

Facebook ha pagato gli appaltatori per trascrivere le chat vocali di Messenger

Previous article

Sony compete con Alpine con la nuova unità principale Android Auto "display mobile"

Next article

You may also like

Comments

Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

More in Tech