Tenetevi pronti per una possibile ‘seconda ondata’ di un enorme attacco informatico globale, in quanto SMB (Server Message Block) non era l’unico protocollo di rete vulnerabile pubblicato dagli Shadow Brokers lo scorso mese.
Nonostante la Microsoft abbia rilasciato la patch per l’exploit di SMB, la società ha ignorato gli altri tre strumenti di hacking, soprannominati “EnglishmanDentist“, “EsteemAudit” e “ExplodingCan“.
Son passate quasi due settimane dallo scoppio di WannaCry, ransomware che ha infettato quasi 300.000 computer in più di 150 paesi in 72 ore.
Per chi non ne fosse a conoscenza ricordiamo che WannaCry ha sfruttato un bug del protocollo SMB, permettendo agli hacker remoti di impadronirsi di tutti quei PC che non avevano aggiornato Windows, e si è poi diffuso verso altri sistemi non patchati grazie alla sua capacità wormable.
EsteemAudit: oltre 24.000 PC ancora vulnerabili
EsteemAudit è un altro pericoloso strumento di hacking Windows sviluppato da NSA e poi rilasciato dagli Shadow Brokers, il quale si rivolge al servizio RDP (porta 3389) nelle macchine Microsoft Windows Server 2003 / Windows XP.
Dal momento che Microsoft non supporta più Windows Server 2003 e Windows XP, a differenza di EternalBlue l’azienda non ha ancora rilasciato alcuna patch di emergenza per EsteemAudit, e ad oggi oltre 24.000 sistemi risultano vulnerabili.
“Anche una sola macchina infetta rende la tua azienda facilmente attaccabile”, affermano Omri Misgav e Tal Liberman, ricercatori della sicurezza presso la società di Cyber Security di Ensilo, i quali hanno rilasciato una patch non ufficiale per EsteemAudit, che vedremo più avanti in questo articolo.
EsteemAudit, simile al ransomware di WannaCry, consente agli hacker di propagarsi nelle reti aziendali, infettando migliaia di sistemi vulnerabili.
Gli autori di Ransomware, come i criminali dietro CrySiS, Dharma e SamSam, che già infettano computer tramite il protocollo RDP attraverso i famosi brute-force, potrebbero sfruttare EsteemAudit in qualsiasi momento in modo da diffondere i loro attacchi, proprio come WannaCry.
Come proteggere i computer?
A causa del caos causato da WannaCry, il servizio SMB ha acquisito tutta l’attenzione, trascurando l’ RDP.
“I sistemi basati su Windows XP attualmente rappresentano più del 7% dei sistemi operativi desktop ancora in uso oggi e l’industria della sicurezza informatica stima che più di 600.000 web server, che ospitano oltre 175 milioni di siti web, eseguono ancora Windows Server 2003 rappresentando circa il 18% della quota di mercato globale “, dicono i ricercatori.
Poiché Microsoft non ha rilasciato alcuna patch per questa vulnerabilità, è consigliabile agli utenti e alle aziende di aggiornare i propri sistemi alle ultime versioni.
“Nessuno dei tre exploit, EnglishmanDentist, EsteemAudit e ExplodingCan, si riproduce su piattaforme supportate, il che significa che i client che Windows 7 e le versioni più recenti di Windows o Exchange 2010 non sono rischio “, afferma Microsoft.
Se risulta difficile per l’azienda aggiornare i propri sistemi immediatamente, è bene almeno disattivare la porta RDP o proteggerla mediante firewall.
Nel frattempo, enSilo ha rilasciato una patch (non ufficiale) per aiutare gli utenti di Windows XP e Server 2003 a proteggere le proprie macchine contro EsteemAudit.