Microsoft pubblica un nuovo avviso sull’importanza di applicare le patch che permettono di risolvere una pericolosa vulnerabilità scoperta in Desktop remoto.
Gli aggiornamenti di sicurezza contro BlueKeep sono stati rilasciati lo scorso 14 maggio e devono essere installati dagli utenti di Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, Windows 7, Windows Vista e Windows XP. Il problema non interessa l’intera base di utenti ma solamente coloro che hanno attivo il server di Desktop remoto Microsoft sui sistemi citati e, soprattutto, quando esso risultasse raggiungibile sull’IP pubblico.
Basta l’utilizzo di un semplice port scanner per capire se vi sia un server di Desktop remoto attivo in ascolto su un qualunque indirizzo IP pubblicamente raggiungibile: Nmap, cos’è e come funziona il re dei port scanner.
La società di Redmond ha più volte rimarcato che un aggressore non deve in alcun modo autenticarsi: è sufficiente che si colleghi alla porta TCP/UDP 3389 (quella di default) o ad altre porte usate da Desktop remoto per aggredire la macchina ed eseguire codice malevolo.
Nel commento di oggi, Microsoft conferma “i numeri” pubblicati nell’articolo Desktop remoto: un milione di sistemi connessi alla rete sono vulnerabili.
“Sono passate due settimane da quando abbiamo rilasciati gli aggiornamenti correttivi e al momento non vi sono segnali di attacchi“, ha osservato il team del Microsoft Security Response Center (MSRC) pur confermando però che sono tanti i codici Proof-of-Concept (PoC) pubblicati in questi giorni ed è assai probabile che presto gruppi di criminali informatici possano iniziare a sferrare degli attacchi.
“La nostra raccomandazione è sempre la stessa: aggiornare i sistemi vulnerabili prima possibile“, scrive ancora MSRC. “Non è detto che le vulnerabilità siano sfruttate in qualche malware” ma il rischio c’è e non è il caso di sottovalutare la problematica.
In questo caso Microsoft non l’ha fatto rilasciando le patch anche per sistemi operativi come Windows Server 2003 e Windows XP che non sono più supportati ormai da un pezzo.
E viene citato il caso di EternalBlue, un exploit che sfrutta una vulnerabilità nell’implementazione del protocollo Server Message Block (SMB) in alcuni sistemi operativi Microsoft.
Dopo il rilascio della correzione – si spiega dal MSRC – ci sono voluti 60 giorni perché i criminali informatici avviassero l’aggressione nota col nome di WannaCry, un worm con le caratteristiche di ransomware.
Gli aggiornamenti per Windows 7, Windows Server 2008 e Windows Server 2008 R2 sono scaricabili da questa pagina; quelli per Windows Server 2003 , Windows Vista e Windows XP da qui. Microsoft ha comunque provveduto a distribuirli anche attraverso Windows Update.