A quasi tre settimane dal rilascio della patch ci sono ancora una marea di macchine Windows vulnerabili al difetto di sicurezza
Sono circa un milione i dispositivi Windows ancora vulnerabili al cosiddetto BlueKeep, difetto di sicurezza che colpisce i sistemi Microsoft. Indicizzato come CVE-2019-0708, si tratta di una falla presente nel servizio Remote Desktop Protocol (RDP), che prende di mira vecchie versioni dell’OS di Redmond. È considerato così grave che la società ha prodotto una patch apposita, dedicata ai software oramai fuori supporto, come Windows XP, per un semplice motivo: evitare che accada, seppur in misura diversa, quanto visto con WannaCry. Il bug è balzato agli onori della cronaca all’inizio di maggio, proprio in occasione del rilascio della correzione da parte della compagnia. La società aveva avvertito che la vicenda poteva essere sfruttato dagli hacker per diffondere malware, alla stregua del già conosciuto e critico WannaCry nel 2017 e, successivamente, NotPetya.
Cosa succede
Gli esperti considera una vulnerabilità del genere di tipo “wormable”, ovvero in grado di lasciare insediare nel computer qualsiasi malware, senza necessità di un intervento da parte dell’utente (con un clic da qualche parte, ad esempio). Robert Graham, a capo della società di sicurezza Errata Security, ha rilevato che circa 950 mila macchine accessibili pubblicamente su Internet sono ancora vulnerabili agli attacchi BlueKeep. “Per eseguire la scansione, ho iniziato con Masscan, il mio port scanner su scala Internet, sulla porta 3389, quella utilizzata da Desktop Remoto”.
Inizialmente, si pensava che fossero circa 7,6 milioni i sistemi collegati a internet inclini ad essere attaccati per via di BlueKeep. Ma, secondo Graham, per la maggior parte si tratta dispositivi non Windows, che dunque non eseguono un servizio RDP sulla porta indicata. Come detto, il bug è di primaria importanza per Microsoft, che ha diffuso tempestivamente patch anche per Windows Vista e Windows Server 2003, nel tentativo di impedire la diffusione di difetti potenzialmente “invisibili”.
Graham ha anche sponsorizzato, ovviamente, il suo strumento di scansione (che è di dominio pubblico), così da consentire agli amministratori di sistema di scandagliare le proprie reti alla ricerca di device vulnerabili. “Potresti avere una vecchia macchina WinXP col difetto, di cui non ti interessa molto perché non usata. Ma pensaci bene, quella macchina potrebbe avere un account di amministratore connesso, tale da permettere ad un eventuale worm di catturare gli accessi e insediarsi altrove. Vale la pena rischiare?”.
