Pochi giorni fa, è stata scoperta una nuova vulnerabilità nel sistema operativo Windows, Panda Patch Management è un valido strumento di mitigazione.
La criticità interessa gli utenti di Windows XP, Windows 7 e altre versioni più vecchie, mentre Windows 8 e 10 non sono stati coinvolti. Questa esecuzione del codice remoto esiste nei servizi Remote Desktop e può essere sfruttata senza autenticazione per eseguire codice arbitrario.
Microsoft
Una vulnerabilità di esecuzione del codice remoto esiste nei Remote Desktop Services – già noti come Terminal Services – quando un utente non autenticato si connette al sistema di destinazione utilizzando RDP e invia richieste create appositamente. Questa vulnerabilità si verifica prima della autorizzazione e non richiede alcuna interazione da parte dell’utente. Un cyber criminale che ha sfruttato con successo questa falla potrebbe eseguire un codice arbitrario sul sistema di destinazione e potrebbe quindi installare programmi, visualizzare, modificare o cancellare i dati o creare nuovi account con pieni diritti utente.
Secondo Microsoft, inoltre, questa vulnerabilità è “wormable“, il che significa che in teoria un hacker potrebbe utilizzarla per distribuire un malware che si diffonderebbe automaticamente tra sistemi con la stesso problema. Per illustrarne la gravità, vale la pena ricordare un altro noto attacco – WannaCry – che ha sfruttato una vulnerabilità dei sistemi Windows e nello specifico quella chiamata EternalBlue, che in ha infettato oltre 200.000 computer in 150 paesi. Microsoft aveva reso disponibile una patch risolutiva due mesi prima di tale attacco, un fatto che sottolinea l’importanza di installare gli aggiornamenti non appena disponibili. Ad oggi, WannaCry è ancora attivo, sono stati quasi 5 milioni i rilevamenti di questo ransomware nei due anni successivi agli attacchi globali.
Anche questa volta, per proteggere i propri clienti, Microsoft ha già rilasciato una patch per i sistemi interessati, tra cui Windows XP, Windows 7 e Windows Server 2008.
Microsoft
Anche se non è stato rilevato alcuno sfruttamento di questa vulnerabilità, è altamente probabile che gli hacker scrivano un exploit e lo incorporino nel loro malware.
Di conseguenza, è essenziale che tutti gli utenti dei sistemi interessati installino quanto prima l’aggiornamento corrispondente.
Microsoft raccomanda inoltre:
• L’abilitazione dell’autenticazione a livello di rete (NLA) su sistemi compatibili (Windows 7, Windows Server 2008 e Windows Server 2008 R2)
• La disattivazione del servizio Remote Desktop su quei computer dove non è strettamente necessario.
In questo scenario si inserisce Panda Security con le soluzioni di protezione avanzate Panda Adaptive Defense e Panda Adaptive Defense 360 che forniscono ulteriori livelli di sicurezza per poter trasformare gli endpoint in bunker attivando la Lock Mode. Questo impedisce a qualsiasi programma sconosciuto di funzionare fino a quando non è stato convalidato dall’azienda.
L’aggiornamento delle patch è d’obbligo
L’elenco dei cyberattacchi che sono stati resi possibili dalla mancanza di patch efficaci è ampio: dal ransomware e cryptojacking, a massicce violazioni dei dati. Uno dei problemi principali nella ricerca e nell’applicazione delle patch necessarie è la mancanza di risorse e di tempo nelle aziende, oltre alla difficoltà di capire quali siano gli aggiornamenti da apportare per primi.
Per aiutare a stabilire e gestire tali priorità i clienti di Panda Security hanno a disposizione la soluzione Panda Patch Management. Questo modulo, che non richiede alcuna distribuzione aggiuntiva da parte dell’utente, non solo fornisce patch e aggiornamenti per i sistemi operativi, ma anche per centinaia di applicazioni di terze parti:
• Scoprire, pianificare, installare e monitorare: fornisce visibilità dello stato degli endpoint in tempo reale, in termini di vulnerabilità, patch o aggiornamenti in sospeso e software non supportati (EoL).
• Controllare, monitorare e dare priorità agli aggiornamenti sui sistemi operativi e sulle applicazioni: consente la visibilità in tempo reale dello stato delle patch e degli aggiornamenti in sospeso per il sistema e le applicazioni di terze parti.
• Previene gli incidenti, riducendo sistematicamente la superficie di attacco creata dalle vulnerabilità del software. La gestione delle patch e degli aggiornamenti consente alle aziende di anticipare gli attacchi che sfruttano le vulnerabilità.
• Contiene e limita gli attacchi, correggendo immediatamente uno o più endpoint. La console correla le minacce rilevate e sfrutta le vulnerabilità scoperte. I tempi di risposta sono ridotti al minimo, contenendo e ponendo rimedio agli attacchi.