Ora EternalBlue funziona anche con Windows 10

Giu 08, 2017 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 1

L’exploit sviluppato dall’NSA e usato dai cyber-criminali per diffondere WannaCry può colpire anche il nuovo sistema operativo di Microsoft.

A quasi un mese di distanza dall’attacco di WannaCry, sappiamo che la sua diffusione è stata arginata da diversi fattori. Uno di questi, e forse il più importante, è stato il fatto che l’exploit usato per diffondere il ransomware non era compatibile con tutte le versioni di Windows.

Nei suoi attacchi WannaCry ha utilizzato un exploit sviluppato dall’NSA (EternalBlue) che era in grado di colpire soltanto le versioni dei sistemi operativi Microsoft precedenti a Windows 10.

Non solo: come hanno potuto rilevare in seguito i ricercatori, la sua efficacia era molto ridotta anche per quanto riguarda le macchine con XP, sulle quali riusciva a installare il ransomware ma non a usare le macchine infettate come “trampolino di lancio” per colpire altri computer.

Anche con tutti questi limiti, però, WannaCry (e altri malware che al suo pari sfruttano EternalBlue per diffondersi) è riuscito a colpire centinaia di migliaia di computer. Cosa sarebbe successo se fosse stato in grado di attaccare con la stessa efficacia il 100% delle macchine Windows?

La domanda non si pone solo sul piano teorico. Considerato infatti che il codice di EternalBlue è ormai di pubblico dominio (al punto di essere stato integrato nel celebre pacchetto di strumenti di hacking Metasploit) la possibilità che qualcuno lo sfrutti per realizzarne una versione più evoluta è terribilmente concreta.

L’exploit dell’NSA è stato integrato in Metasploit attraverso un modulo dedicato. Ormai lo si può considerare un “classico” dell’hacking.

A porsi il problema sono stati Sean Dillon e Dylan Davisè, due ricercatori di RiskSense che hanno scoperto come EternalBlue possa essere modificato per colpire anche Windows 10.

Nel loro report, i due ricercatori spiegano che con qualche modifica lo strumento che sfrutta la vulnerabilità del Server Message Block per avviare l’esecuzione di codice in remoto si dimostra efficace anche con l’ultima versione del sistema operativo Microsoft.

Non tutte, ovviamente: a essere vulnerabili sono solo quelle che non sono state aggiornate con l’update MS17-010 realizzato da Microsoft per “tappare” la falla sfruttata da EternalBlue. La notizia, purtroppo, non è poi così rassicurante.

Come si è potuto verificare in decine di occasioni negli scorsi mesi, l’idea che la maggioranza delle macchine utilizzi sistemi operativi aggiornati è una pia illusione.

La ricerca di Dillon e Davisè, inoltre, pone un altro problema. Fino a oggi, tutti i malware che hanno utilizzato EternalBlue per diffondersi lo hanno fatto utilizzando la stessa strategia pensata dagli agenti dell’NSA nello sviluppo dei loro strumenti di hacking, cioè l’uso in abbinata con un secondo tool chiamato DoublePulsar.

Come fanno notare i due analisti, la maggior parte degli strumenti di rilevazione messi a punto per individuare questo tipo di attacco in realtà non identificano EternalBlue, ma DoublePulsar.

Peccato che nel “rimaneggiare” l’exploit, Dillon e Davisè sono riusciti a metterne a punto una versione che non usa DoublePulsar e, di conseguenza, non viene rilevato dalla maggior parte dei software di sicurezza.

Nel loro report, naturalmente, i due ricercatori evitano di fornire tutti i dettagli tecnici che possono essere utili a eventuali pirati informatici per riprodurre il loro esperimento, ma si limitano a fornire le informazioni che permetteranno (o dovrebbero permettere) di sviluppare le contromisure necessarie per evitare ulteriori possibili guai.

Condividi l'articolo