Una nuova potente vulnerabilità ha tutto ciò che serve per capovolgere la sicurezza di Windows su milioni di computer. La vulnerabilità non ha ancora un nome ufficiale ed esiste già una patch, ma i ricercatori avvertono le aziende di installare le ultime patch o affrontarne le conseguenze.
Il mondo della sicurezza ricorda ancora il caos che si è creato EternalBlue nel 2017, quando una vulnerabilità scoperta dalla National Security Agency (NSA) è stata utilizzata dai famigerati attacchi WannaCry e NotPetya (tra molti altri) per colpire le infrastrutture digitali di tutto il mondo.
I ricercatori di sicurezza stanno ora lanciando l'allarme su un'altra potente vulnerabilità che potrebbe essere ancora più pericolosa di EternalBlue se lasciata senza patch.
La nuova vulnerabilità, nome in codice CVE-2022-37958, funziona allo stesso modo di EternalBlue e può essere utilizzata per eseguire in remoto codice dannoso senza necessità di autenticazione. Il bug è anche un "worm", nel senso che può replicarsi per infettare altri sistemi vulnerabili. Questo è precisamente il motivo per cui WannaCry e altri attacchi del 2017 sono stati in grado di diffondersi così rapidamente.
Tuttavia, a differenza di EternalBlue, CVE-2022-37958 è ancora più pericoloso perché non è limitato al protocollo Server Message Block (SMB), poiché è all'interno del meccanismo SPNEGO Extended Negotiation. SPNEGO viene utilizzato dal software client-server per negoziare la scelta della tecnologia di sicurezza da utilizzare.
Grazie a SPNEGO il computer client e il server Internet possono decidere quale protocollo utilizzare per l'autenticazione, oltre a SMB, i protocolli interessati includono RDP, SMTP e HTTP. Il pericolo rappresentato da CVE-2022-37958 è mitigato dal fatto che, a differenza di EternalBlue, una soluzione corretta è disponibile da tre mesi.
Microsoft risolto il bug a settembre 2022 con un aggiornamento mensile del Patch Tuesday. All'epoca, gli analisti di Redmond classificarono le falle come "significative", vedendo il problema come una potenziale divulgazione di informazioni riservate e niente più. Dopo aver esaminato il codice, gli stessi analisti hanno assegnato a CVE-2022-37958 un tag critico e un punteggio di gravità pari a 8.1, lo stesso di EternalBlue.
Il fatto che sia già disponibile una correzione può essere più un fattore aggravante che positivo.
"Come abbiamo visto con altre grandi vulnerabilità nel corso degli anni, come l'exploit MS17-010 in EternalBlue", ha affermato Valentina Palmiotti, ricercatrice sulla sicurezza di IBM, "alcune organizzazioni sono lente a implementare le patch nel corso di mesi o non dispongono di un inventario accurato dei sistemi interessati da Internet e non applicare alcuna patch ai sistemi."
La minaccia è ancora lì, in agguato in milioni di sistemi Windows da Windows 7.
Puoi aiutare l'Ucraina a combattere contro gli invasori russi. Il modo migliore per farlo è donare fondi alle forze armate ucraine attraverso Salva Vita o tramite la pagina ufficiale NBU.
Interessante anche: