Microsoft punta platealmente il dito contro la NSA (National Security Agency), organismo governativo statunitense che, insieme con CIA e FBI, si occupa della sicurezza nazionale.
Per la prima volta, nel commentare quanto accaduto a partire da venerdì scorso con la diffusione su scala planetaria del ransomware WannaCry (Attacco WannaCry: il ransomware sfrutta la falla risolta con l’aggiornamento MS17-010), Microsoft ha ammesso che la vulnerabilità di Windows sfruttata dagli aggressori era stata tenuta segreta dalla NSA per lungo tempo.
La NSA, insomma, non ha mai informato Microsoft circa l’esistenza del problema di sicurezza, evidentemente sfruttato per attività di monitoraggio nell’ambito delle investigazioni.
Brad Smith, President and Chief Legal Officer di Microsoft, ha descritto l’accaduto come un importante monito per tutti i governi che devono considerare i danni che possono essere causati agli utenti finali e alle organizzazioni tenendo segrete delle vulnerabilità.
Nel caso di specie, la NSA non soltanto si è tenuta per sé i dettagli tecnici di una pericolosa vulnerabilità che interessa tutti i sistemi Windows, compresi quelli più recenti, ma non è neppure riuscita a conservarla in sicurezza.
Tant’è vero che l’ente governativo USA ha subìto un attacco informatico durante il quale è stata trafugata la documentazione relativa alla falla di sicurezza sfruttata su larga scala dallo scorso venerdì.
Invece di condividere quanto scoperto con Microsoft – in privato e in maniera responsabile – consentendo la rapida risoluzione del problema mediante un aggiornamento “ad hoc”, la NSA ha “secretato” il tutto.
Già a febbraio Microsoft aveva richiesto la firma di una Convenzione digitale di Ginevra, un accordo che obblighi gli enti governativi a segnalare l’esistenza di nuove vulnerabilità, in maniera responsabile, ai singoli produttori. Un accordo che permetta di scongiurare l’archiviazione, lo sfruttamento o la vendita dei singoli codici exploit.
Rispetto a WannaCry, è importante ricordare che sebbene la versione iniziata a diffondersi venerdì scorso sia stata ormai messa fuori gioco, stanno prendendo piede altre varianti.
È quindi fondamentale verificare di avere installato la patch MS17-010 o comunque avere installato l’ultimo aggiornamento cumulativo per Windows (o almeno quello di marzo 2017).