Ancora un milione di computer vulnerabili alla falla "wormable" BlueKeep

Nonostante vendor e l'intera comunità dei ricercatori di sicurezza stiano ripetendo in ogni forma, occasione e modalità la gravità della falla BlueKeep invitando ad installare la patch prima possibile, ci sono ancora quasi 1 milione di computer eseguenti il sistema operativo Windows che risultano ancora vulnerabili.  

BlueKeep, una vulnerabilità di livello critico del Remote Desktop Procotol (RDP) di Windows è stata scoperta pochi giorni fa: è una vulnerabilità  che consente l'esecuzione di codice da remoto e la diffusione di malware "alla maniera" dei worm, da computer vulnerabile a computer vulnerabile. Presenta un livello di virulenza teoricamente paragonabile a quello delle gravissime infezioni ransomware "wormable" Wannacry e NotPetya, essendo in grado di diffondersi automaticamente in altri sistemi non protetti.  Questa vulnerabilità riguarda i SO Windows 2003, Windows XP, Windows 7, Windows Server 2008 e 2000 R2. 

Per approfondire vedi qui >> https://bit.ly/2YT628j

Qui le linee guida di Microsoft sulla problematica >> https://bit.ly/2WcJ7rI

Ancora 1 milione di macchine vulnerabili

La gravità di questa vulnerabilità è intuibile dal fatto che Windows ha "trasgredito" a se stessa per affrontare questo problema, rilasciando la patch anche per quei sistemi operativi obsoleti per i quali non è previsto più il supporto.  Evidentemente tutto questo non è bastato per convincere il numero più alto possibile di utenti ad eseguire l'upgrade: Robert Graham, capo e ricercatore di di sicurezza di Errata Security ha divulgato i dati dell'ultima scansione eseguita in Internet in cerca di macchine ancora vulnerabili e ne ha individuate ben 950.000, pubblicamente accessibili in Internet e vulnerabili a BlueKeep.

Graham ha usato "rdpscan", un tool per la scansione veloce e di massa di porte esposte direttamente in Internet, che può analizzate l'intero Internet in cerca di sistemi ancora vulnerabili a Bluekep. Ha così individuato oltre 7 milioni di sistemi con la porta 3389 in ascolto, 1 milione dei quali è ancora vulnerabile. Graham ha così lanciato un appello, nella consapevolezza che nell'arco di uno o due mesi è verosimile prospettare la costruzione di un solido exploit capace di sfruttare questa falla. L'aumento costante di scansioni di porte aperte in Internet in questi giorni subito successivi alla pubblicazione delle specifiche di questa falla dimostra che l'attenzione dei cyber criminali è già alta. 

Insomma, è urgente correre ai ripari installando la patch. Laddove non fosse possibile, consigliamo:

1. di disabilitare i servizi RDP, se non necessari;
2. bloccare la porta 3389 usando un firewall o rendendola accessibile solo con una VPN privata;
3. abilitare il Network Level Authentication (NLA), come forma di mitigazione parziale per prevenire eventuali exploit della falla da parte di attaccanti non autenticati.