Si chiama SMB (Server Message Block) il protocollo usato da Microsoft nei suoi sistemi operativi Windows per condividere condividere file, stampanti e altre risorse all’interno di una rete locale.
L’utilizzo di SMBv1 è stato messo da parte: presentata a inizio anni ’90, dopo la diffusione del worm-ransomware WannaCry (maggio 2017), la prima versione di SMB è stata disattivata per default in Windows visti i limiti e le debolezze di un protocollo ormai vecchio di trent’anni. Per impostazione predefinita in Windows viene lasciato attivo solo SMBv2.
Sono però ancora tante le macchine che, soprattutto a livello aziendale, continuano a usare SMBv1: e se è dal 2016 che Microsoft ne caldeggia l’abbandono, ieri – con una nuova nota pubblicata a questo indirizzo – la società guidata da Satya Nadella è tornata ad esortare la disattivazione di SMBv1, soprattutto sui server Exchange.
“Per assicurarvi che il vostro server Exchange 2013/2016/2019 sia meglio protetto contro le minacce più recenti (ad esempio Emotet, TrickBot o WannaCry per citarne alcune), vi consigliamo di disattivare SMBv1 se ancora abilitato“, si legge. “Non è più necessario mantenere attivo il protocollo SMBv1, vecchio di quasi 30 anni, quando Exchange 2013/2016/2019 è installato sui vostri sistemi. SMBv1 non è sicuro e facendone uso si perdono le protezioni chiave offerte dalle versioni successive del protocollo“.
Nel 2017 vennero pubblicati diversi exploit sviluppati dalla NSA, organismo del Dipartimento della Difesa USA che – insieme alla CIA e all’FBI – si occupa della sicurezza nazionale, capaci proprio di bersagliare diverse vulnerabilità insite in SMBv1.
Alcune di queste vulnerabilità, come EternalBlue ed EternalRomance sono state utilizzate da malware come TrickBot, Emotet, WannaCry, Retefe, NotPetya e Olympic Destroyer per diffondersi a macchia d’olio infettando altre macchine e danneggiare i sistemi altrui oppure rubare credenziali di accesso.
Dalla versione 1709 di Windows 10 e dalla versione 1709 di Windows Server, SMBv1 non è più abilitato di default nel sistema operativo: le versioni più recenti dei sistemi operativi Windows utilizzano SMBv3.
Nel post di Microsoft sono pubblicati i comandi PowerShell per verificare se SMBv1 fosse abilitato sulla macchina Windows Server e disattivare il protocollo di conseguenza.
Per le altre versioni di Windows, è possibile fare riferimento a questo documento di supporto.