Darren Mar-Elia

Aggiornamento del 29 luglio 2019: con oltre 800.000 sistemi Windows ancora non patchati e vulnerabili (al 2 luglio), la preoccupazione per BlueKeep rimane alta, soprattutto dopo che la scorsa settimana è stata pubblicata online una guida dettagliata su come come scrivere un exploit è stata pubblicata online la scorsa settimana. Altre indicazioni che la vulnerabilità non sta passando inosservata sono la pubblicazione di un exploit e la scoperta di un malware che esegue la scansione dei computer vulnerabili. Aggiornate i vostri sistemi interessati e verificate subito le vostre capacità di recupero!

 

La vulnerabilità di Windows apre le porte al prossimo WannaCry

Sono passati poco più di due anni da WannaCry, il ransomware che ha sfruttato la vulnerabilità EternalBlue per infettare centinaia di migliaia di computer in tutto il mondo e infliggere danni stimati in 8 miliardi di dollari.

Se la storia si ripete, ci aspetta un altro assalto nei prossimi 30 giorni.

Il 14 maggio Microsoft ha rilasciato le correzioni per una vulnerabilità critica di esecuzione di codice remoto(CVE-2019-0708) - un bug ora noto come BlueKeep - e ha esortato i clienti ad aggiornare tutti i sistemi interessati il prima possibile.

La scorsa settimana, la National Security Agency (NSA) degli Stati Uniti ha pubblicato un proprio avviso sulla sicurezza informatica, ribadendo la necessità di agire.

Gli attacchi di WannaCry sono iniziati 59 giorni dopo che Microsoft ha rilasciato le correzioni per EternalBlue. Applicando un tempo simile a BlueKeep, potremmo iniziare a vedere attacchi a luglio, giusto in tempo per rovinarci le vacanze estive. Naturalmente, i tempi potrebbero essere inferiori... o superiori.

Siamo pronti?

La questione non è solo se abbiamo aggiornato i sistemi interessati: l'aggiornamento tempestivo delle patch è estremamente importante, ma non è sufficiente. La preparazione richiede anche la messa in atto di un processo di ripristino rafforzato per quelle volte in cui, nonostante i nostri sforzi o a causa di nuove vulnerabilità scoperte, gli aggressori riescono a entrare.

Che siate stati colpiti o meno da BlueKeep, è un buon momento per rivedere il vostro processo di recupero. Alcuni elementi da considerare:

  • Possiamo accedere ai nostri backup. Gli aggressori non puntano solo alle applicazioni e ai dati di produzione, ma anche ai backup o, collateralmente, ai sistemi che ospitano i backup. Assicuratevi di conservare i backup (o le copie di backup) in un luogo in cui gli attacchi ransomware e wiper non possano raggiungerli.
  • Cosa fare se i backup sono infetti. Molti backup includono file eseguibili, file di avvio e altri file del sistema operativo in cui possono nascondersi rootkit e altre minacce informatiche. Il ripristino dei sistemi da questi backup ripristina anche il malware presente al momento del backup. Per questo motivo è necessario disporre di un metodo di ripristino dei sistemi che non si basi sul ripristino del sistema operativo originale.
  • Siamo in grado di soddisfare gli obiettivi di tempo di ripristino (RTO) per le applicazioni critiche. Identificate i processi aziendali critici e le applicazioni necessarie per supportarli. Mappate l'infrastruttura da cui dipendono le applicazioni e assicuratevi di includere i tempi di ripristino di tale infrastruttura. Ad esempio, Active Directory è uno dei primi servizi da coprire, poiché la maggior parte delle applicazioni dipende da esso.

È anche un ottimo momento per parlare di resilienza informatica con il management: questa ultima vulnerabilità della sicurezza fornisce un contesto reale per la discussione. Rivolgetevi al management in modo proattivo e informatelo del problema, della vostra esposizione e di ciò che manca nel vostro piano di recupero.

Una rapida ricerca su Internet può fornire materiale per la discussione. Ecco un paio di articoli che sono particolarmente "manageriali": Avvertimento di Microsoft, Avviso di sicurezza informatica dell'NSA

Senza dubbio ne verranno scritti altri se (quando) inizieranno gli attacchi che sfruttano BlueKeep.

Siate pronti!