Nel 2017, l’exploit EternalBlue ha portato all’attenzione mondiale una vulnerabilità di Windows fino ad allora sconosciuta. Si trattava di uno strumento sviluppato dall’Agenzia per la Sicurezza Nazionale degli Stati Uniti (NSA) per operazioni di intelligence e attività di antiterrorismo. Ma quando è trapelato online, i criminali informatici hanno iniziato a usarlo per violare i computer esposti.
Quasi dieci anni dopo, l’exploit EternalBlue è ancora attuale. Molti sistemi datati non hanno mai ricevuto gli aggiornamenti necessari e alcune organizzazioni utilizzano apparecchiature obsolete che usano ancora stessa tecnologia. Questo lascia spazio ai cybercriminali che scandagliano internet alla ricerca di sistemi ancora vulnerabili.
Scopri di più sull’exploit EternalBlue, come funziona e come mantenere i tuoi dispositivi al sicuro da questa vulnerabilità.
Che cos’è EternalBlue?
EternalBlue è un exploit, ovvero un codice progettato per sfruttare una vulnerabilità di Microsoft Windows, ufficialmente catalogata con il codice CVE-2017-0144, presente nel protocollo di condivisione file di Windows chiamato Server Message Block versione 1 (SMBv1).
La vulnerabilità colpisce le versioni più vecchie di Windows, tra cui Windows XP, Windows 7 e diverse edizioni di Windows Server che facevano affidamento su SMBv1 per la condivisione dei file in rete. L’exploit è stato originariamente sviluppato dalla NSA per operazioni di intelligence, motivo per cui spesso viene chiamato “EternalBlue NSA“.
Di per sé, l’exploit EternalBlue non è un malware, e da solo non è neanche un attacco informatico. È un exploit, cioè un frammento di codice che sfrutta una vulnerabilità per entrare nei sistemi. Una volta ottenuto l’accesso, i criminali informatici possono installare ransomware, infostealer o altri software dannosi sul dispositivo.
La vulnerabilità è rimasta nascosta per anni, finché un misterioso gruppo di cybercriminali chiamato Shadow Brokers ha rubato e reso pubblici diversi strumenti informatici della NSA nel 2017. Quando l’exploit è diventato pubblico, altri cybercriminali hanno iniziato rapidamente a usarlo in attacchi su larga scala.
EternalBlue è ancora pericoloso?
Sì, l’exploit EternalBlue è ancora pericoloso, ma solo per chi continua a usare vecchi sistemi. Molti settori utilizzano dispositivi specializzati che eseguono vecchie versioni di Windows e sono difficili da aggiornare. Le apparecchiature mediche ne sono un buon esempio: alcune utilizzano sistemi operativi obsoleti perché sostituirli o aggiornarli sarebbe troppo costoso.
Microsoft ha rilasciato l’aggiornamento di sicurezza MS17-010 come correzione ufficiale per l’exploit EternalBlue, e i sistemi moderni come Windows 11 non sono più vulnerabili. Anche Windows 10 può essere protetto con gli aggiornamenti appropriati, ma i computer non aggiornati, con SMBv1 ancora attivo ed esposto sulla porta 445, rimangono vulnerabili agli attacchi.
Per risolvere completamente questa vulnerabilità è necessario aggiornare Windows e disattivare SMBv1.
Come funziona EternalBlue?
L’exploit EternalBlue prende di mira SMB, un protocollo di Windows che serve a condividere file e stampanti in rete. Quando un computer vulnerabile riceve dati appositamente confezionati, una serie di bug nel sistema SMBv1 può indurlo a gestire quei dati in modo sbagliato.
Gli attaccanti approfittano proprio di questo errore: l’exploit EternalBlue invia traffico di rete malevolo che induce il sistema a eseguire il codice controllato dall’attaccante. Una volta all’interno, i criminali possono installare diversi tipi di malware, accedere ad altre posizioni della rete o installare ransomware.
Ecco come avviene l’attacco:
- Viene inviato un pacchetto malevolo a un PC Windows tramite il protocollo SMB.
- Il sistema elabora il pacchetto in modo errato a causa di un bug in SMBv1.
- Si verificano errori di memoria, che consentono all’attaccante di ottenere il controllo di una parte del sistema.
- L’attaccante esegue codice malevolo da remoto senza effettuare l’accesso.
- Il malware viene installato e inizia a infettare altri dispositivi vulnerabili nella rete.
Principali attacchi informatici che hanno sfruttato EternalBlue
Dopo che l’exploit EternalBlue è stato reso pubblico nel 2017, i cybercriminali hanno iniziato subito a sfruttarlo in attacchi reali. Alcuni di questi hanno causato danni per miliardi di dollari e hanno paralizzato ospedali, aziende ed enti pubblici in tutto il mondo. Ecco alcuni degli attacchi principali.
WannaCry
L’attacco WannaCry con EternalBlue è stato una delle più grandi epidemie di ransomware della storia. A maggio 2017, il malware ha sfruttato l’exploit EternalBlue per diffondersi automaticamente tra i computer Windows vulnerabili, crittografare i file e chiedere un riscatto in Bitcoin.
Nel giro di pochi giorni, l’attacco ha infettato più di 200.000 computer in oltre 150 Paesi e ha causato danni stimati intorno ai 4 miliardi di dollari.
NotPetya
NotPetya è apparso poche settimane dopo WannaCry, nel giugno 2017. Sembrava un ransomware, ma in realtà era progettato per distruggere i dati in modo permanente. Il malware sfruttava l’exploit EternalBlue per propagarsi nelle reti e paralizzare grandi organizzazioni, soprattutto in Ucraina, prima di diffondersi nel resto del mondo.
L’attacco ha interrotto i servizi di società di spedizioni, banche e aziende manifatturiere causando danni globali per circa 10 miliardi di dollari, motivo per cui è considerato uno degli attacchi informatici più costosi di sempre.
EternalRocks
EternalRocks era un worm scoperto poco dopo l’epidemia di WannaCry. Invece di usare un singolo exploit, combinava sette strumenti di hacking diversi della NSA, tra cui l’exploit EternalBlue, per infettare i sistemi Windows vulnerabili. Secondo i ricercatori, il malware poteva diffondersi silenziosamente attraverso le reti e creare grandi botnet prima di lanciare altri attacchi.
LemonDuck
LemonDuck è una campagna di malware attiva da tempo che prende di mira sia i sistemi Windows che Linux. In molti casi sfrutta la vulnerabilità EternalBlue per compromettere i sistemi Windows non aggiornati e poi installa un malware per il mining di criptovalute.
La campagna ha infettato migliaia di sistemi in tutto il mondo, e spesso ha preso di mira aziende e ambienti cloud per sfruttarne la potenza di calcolo.
Smominru
Smominru è una grande botnet che si espande sfruttando la vulnerabilità EternalBlue e infettando nuovi sistemi Windows non aggiornati. Una volta all’interno, installa un malware che sfrutta di nascosto il computer per minare criptovalute.
Al culmine della sua attività, i ricercatori hanno osservato che questa botnet infettava circa 4700 computer al giorno e, nel complesso, aveva compromesso centinaia di migliaia di sistemi in tutto il mondo.
Come proteggersi da EternalBlue
I sistemi moderni con Windows 11 non hanno nulla da temere, ma quelli più datati richiedono maggiore attenzione. Ancora oggi, molti attacchi scansionano le reti alla ricerca di sistemi non aggiornati. Strumenti come i moduli Metasploit per EternalBlue permettono sia ai ricercatori di sicurezza sia agli attaccanti di verificare rapidamente se un sistema è vulnerabile.
Ecco alcuni modi per ridurre i rischi:
1. Sostituisci il dispositivo (passa a Windows 11):
I sistemi con Windows 11 non sono vulnerabili a EternalBlue. Se usi ancora Windows 7 o altre versioni obsolete, l’aggiornamento elimina il rischio e ti dà accesso a funzionalità di sicurezza più moderne ed efficaci.
2. Installa le patch sui sistemi obsoleti
Se hai un computer con un sistema vecchio e devi per forza continuare a usarlo, installa l’aggiornamento di sicurezza MS17-010 di Microsoft, che risolve la vulnerabilità sfruttata da EternalBlue.
3. Disattiva il protocollo SMBv1
L’exploit EternalBlue prende di mira il protocollo SMBv1 per la condivisione dei file. Disattivare SMBv1 sui sistemi Windows elimina il componente debole su cui fanno affidamento gli attaccanti. Apri la finestra di dialogo “Attiva o disattiva funzionalità di Windows”: scorri verso il basso ed espandi la voce “Supporto per condivisione file SMB 1.0/CIFS”. Deseleziona la casella di controllo principale.
4. Blocca la porta 445 (su Windows 10)
Gli attacchi che sfruttano EternalBlue in genere passano attraverso la porta 445, che gestisce il traffico SMB. Bloccando la porta 445 sulla rete, impedisci agli attaccanti esterni di raggiungere i sistemi vulnerabili.
5. Attiva il firewall
Un firewall configurato correttamente può bloccare il traffico di rete sospetto prima che raggiunga i servizi vulnerabili, aggiungendo un’ulteriore barriera tra gli attaccanti e il tuo sistema.
6. Segmenta le reti
La segmentazione di rete limita la capacità di un malware di propagarsi sulla rete. Se separi i dispositivi e le diverse aree del sistema e una di queste viene infettata, i danni saranno più contenuti.
La posta in gioco è alta. Le statistiche sul ransomware rivelano che la mediana delle richieste di riscatto nel 2025 ha superato 1,3 milioni di dollari. Aggiornare regolarmente i sistemi e limitare l’esposizione della rete contribuiscono in modo significativo a chiudere questa porta d’entrata per i cybercriminali.
Proteggi Windows dai nuovi exploit con Panda Security
La vulnerabilità EternalBlue non interessa la maggior parte dei sistemi moderni, ma ci ricorda la rapidità con cui un difetto nascosto può trasformarsi in un cyberattacco su scala mondiale. Quando le vulnerabilità passano inosservate, gli attaccanti si muovono rapidamente e le sfruttano per diffondere ransomware e altre minacce sulle reti, prima che tu abbia il tempo di reagire.
Panda Dome ti aiuta a tappare questa falla di sicurezza. Utilizza l’analisi comportamentale per individuare attività sospette, in modo da rilevare le minacce zero-day prima che le firme tradizionali dei malware siano disponibili.
Il nostro software monitora anche il traffico di rete e blocca gli attacchi che provano a sfruttare le vulnerabilità di Windows, fermando le minacce prima che possano infettare i tuoi dispositivi.
Proteggi subito i tuoi dispositivi con Panda Dome e resta sempre un passo avanti rispetto ai prossimi exploit per Windows!
CONTINUA A LEGGERE: Malware e intelligenza artificiale: come i chatbot possono essere usati negli attacchi
