La distanza tra chi attacca e chi si difende è enorme. Chi attacca decide quando attaccare e chi si difende ha solo qualche secondo per rispondere. Chi attacca fa questo mestiere, chi si difende molto spesso fa un altro mestiere.
Per questo motivo è fondamentale essere sempre pronti a difendersi e il primo passo da fare è aggiornare i sistemi. Un’azione che sembra scontata, ma ancora oggi molti sistemi risultano non aggiornati e vulnerabili.
Secondo l’ultimo report dell’Osservatorio di Exprivia di Cybersecurity, oggi contiamo sul territorio Italiano ben 70 dispositivi ancora affetti dalla vulnerabilità CVE-2017-0144, anche conosciuta con il nome di Eternal Blue.
Attraverso questa vulnerabilità è stato possibile diffondere il ransomware chiamato WannaCry, un worm che ha causato problemi su larga scala nel maggio 2017 su computer con Microsoft Windows.
Figura 1: suddivisione per area geografica dei possibili dispositivi vulnerabili – 11/03/2021
Una vulnerabilità che a maggio compie 4 anni, ma ancora presente su dispositivi esposti in rete.
Settanta dispositivi possono non sembrare tanti, ma potenzialmente ne basta uno in uso su servizi critici per creare gravi problemi ad aziende e comunità.
Assumendo che la analisi del rischio sia stata fatta, ci sono tre casi in cui l’aggiornamento dei sistemi non è riuscito a rimuovere il problema:
1. L’utente non può aggiornare il sistema perché i fornitori non eseguono più aggiornamenti o patch del sistema;
2. L’utente ha aggiornato il sistema, ma l’attaccante ha già inserito malware o backdoor;
3. L’aggiornamento andrebbe ad impattare il servizio in maniera irrimediabile e per questo non è possibile effettuarlo.
L’UTENTE NON PUÒ AGGIORNARE IL SISTEMA PERCHÉ I FORNITORI NON ESEGUONO PIÙ AGGIORNAMENTI O PATCH DEL SISTEMA
Ad esempio la CVE-2019-0708 non richiede autenticazione e neanche interazione da parte dell'utente. In altre parole, la vulnerabilità è “wormable“, il che significa che un qualsiasi malware futuro potrebbe sfruttare questa vulnerabilità e potrebbe propagarsi da un computer vulnerabile ad un altro, in modo simile al malware WannaCry, diffuso in tutto il mondo nel 2017.
Sebbene non abbiamo osservato alcuno sfruttamento di questa vulnerabilità, è probabile che dei malintenzionati potrebbero scrivere un exploit per sfruttarla incorporandola all’interno dei loro malware. Questa vulnerabilità è presente sui sistemi Windows XP e Windows Server 2003. La vulnerabilità permette l'esecuzione di codice arbitrario in modalità remota. Per sfruttare questa vulnerabilità, un utente malintenzionato dovrebbe inviare una richiesta appositamente predisposta ai sistemi di destinazione Remote Desktop Service tramite RDP. L’attaccante, ottenuto l’accesso, può installare programmi, visualizzare, modificare o eliminare i dati o creare nuovi account con diritti utente completi.
L’Osservatori Exprivia sulla Cybersecurity ha rilevato la presenza di 3198 dispositivi connessi in rete con questa vulnerabilità sul territorio nazionale.
Figura 2: suddivisione per area geografica dei possibili dispositivi vulnerabili alla CVE-2019-0708 – 10/03/21
In questo caso l’aggiornamento non è possibile quindi si deve procedere ad un ammodernamento dei propri sistemi.
L’UTENTE HA AGGIORNATO IL SISTEMA, MA L’ATTACCANTE HA GIÀ INSERITO MALWARE O BACKDOOR
Un attaccante che vuole rimanere per molto tempo all’interno di sistemi, come prima cosa cerca un modo per poter rieseguire l’accesso.
Una modalità prevede l’installazione di malware come backdoor, che consentono dieffettuare successivamente l’accesso ai sistemi. Un’altra modalità prevede l’utilizzo di spyware.
L’AGGIORNAMENTO ANDREBBE AD IMPATTARE IL SERVIZIO IN MANIERA IRRIMEDIABILE
Non sempre i servizi sono ridondanti e quindi risulta impossibile la sospensione per l’aggiornamento. In altri casi la verifica in ambiente di test della funzionalità del servizio, dopo l’installazione della patch, non può essere fatta, in quanto richiede troppo tempo o ha avuto esiti negativi. In questi casi l’aggiornamento del sistema non può essere effettuato.
COSA FARE QUANDO NON È POSSIBILE AGGIORNARE I SISTEMI?
Ci sono diverse soluzioni che possono essere adottate per ridurre il rischio.
Innanzitutto va aumentata la visibilità su queste vulnerabilità e questo lo si può fare tramite attività di Vulnerability Assessment e Penetration Test.
Successivamente è necessario adottare politiche di zero-trust tramite micro-segmentazione, una tecnologia di sicurezza della rete che consente agli architetti delle soluzioni di sicurezza di suddividere, in modo logico, i sistemi presenti in rete in segmenti di sicurezza separati, fino al livello del singolo carico di lavoro. In questo modo si generano sistemi omogenei e controlli di sicurezza più specifici. Grazie alla micro-segmentazione, anche se un malintenzionato riuscisse ad accedere all’area del sistema dove si trovano le telecamere, rimarrebbe confinato lì senza la possibilità di accedere ad altre aree e generare ulteriori danni.
Non potendosi spostare, la sua presenza verrebbe notata più facilmente, tramite anomaly detection sul traffico di rete.
a cura di Andrea Pastore, Security Researcher Exprivia
