Ultima modifica:
Onestamente non lo sapevo, dal 2004, Ottobre è il mese dedicato agli appassionati di sicurezza informatica. In onore di questo mese, oggi parlerò nuovamente della famosa vulnerabilità di microsoft-ds che ha fatto tremare il mondo nel 2017, e le cui origini sono tutt'oggi oggetto di speculazione. Quest'exploit funziona su tutte le versioni di Windows ed è stata sviluppata una variante anche per Linux (detta SambaRed, o SambaCry), e vi chiederete, perché decido di parlare proprio di quest'exploit, quando ne sono stati scoperti altri in tempi più recenti, come smbghost? Mi piacerebbe che gli utenti comprendano il significato di essere vulnerabili nel 2022, a una famiglia di exploit scoperta e fixata 5 anni fa. Se nel 2022 avvistate su Censys, ZoomEye, Shodan o dove volete, un OS vulnerabile a questa famiglia di exploit, siete in grado di capire fin da subito che esiste una grave lacuna nell'accortezza del target, riguardo la gestione dei suoi dispositivi.
In questi mesi ho estrapolato dei risultati molto interessanti riguardo MS17-010, e di seguito enumererò, secondo i risultati della mia campagna di operazioni di sicurezza offensive, il numero di paesi vulnerabili a EternalBlue dal più critico al meno vulnerabile. Il thread ovviamente non intende redirigere il lato oscuro e silenzioso di Inforge verso questi poveracci (perché tanto ho scritto agli amministratori, anche se non conoscere le lingue straniere a parte l'inglese è stato problematico), quanto piuttosto quello di creare consapevolezza in chiunque, quanta più possibile:
1° posto: Paesi latino-americani. Prima del mio intervento, queste zone erano in una situazione molto seria. Le condizioni di povertà di queste zone, non costituiscono una ragione valida per la loro esclusione dai programmi di educazione all'igiene digitale. Il denaro non dovrebbe essere il primo pensiero nella mente di qualcuno, almeno per me;
2° posto: India. Incredibile ma vero, molti ricercatori di sicurezza informatica che scrivono guide e rettificazioni sugli exploit su Google e Git sono indiani, eppure l'India era messa male;
3° posto: Spagna. Qui ho rilevato alcuni device anche moderni risultati positivi allo scanner;
4° posto: Russia. Pensavate davvero che questo paese fosse famoso per la presenza di presunti guru dell'hacking? Questo non lo so onestamente, ma l'aver trovato vari device (fra cui molto datati) vulnerabili a MS17-010 mi fa riflettere due volte sulle credenze della massa;
5° posto: Asia sud-orientale: identificato un cluster di paesi in Asia sud-orientale con varie edizioni di Windows vulnerabili all'exploit. Anche qui ho fatto arrivare il mio messaggio agli amministratori.
Per quanto riguarda l'Italia, sono contento di rivelare che sono alquanto stupito, non mi aspettavo che ci fosse così tanta accortezza negli italiani. I device vulnerabili da noi sono pochi, e quei pochi che risultano vulnerabili sono falsi positivi, o comunque operano dietro un firewall, risultando irraggiungibili dallo scanner (ping timed out). Comunque, non c'è molto da rassicurarsi, perché l'OS più diffuso in Italia è Android. Non ho studiato quest'OS, ma per fare una stima precisa dell'accortezza degli italiani in fatto di sicurezza informatica, bisognerebbe focalizzare le ricerche su Android (con che frequenza aggiornano l'OS, i programmi di protezione che ci utilizzano, versione e modello del device, la percentuale dei device rootati). Questo può essere fatto tramite un'investigazione simile a quella fatta da me con MS17-010 (uso di motori di ricerca come Censys, ZoomEye ecc). Conoscendo l'indole dell'italiano medio, temo sia molto difficile raggiungere dei risultati affidabili tramite i sondaggi.
Per concludere, MS17-010 è un exploit da laboratorio, e quando si effettua un indagine online, bisogna affidarsi ad uno scanner di rete (o alla sua controparte innoqua presente in Metasploit, ossia smb_psexec o smb/command/psexec). L'exploit originale leakato dagli Shadow Brokers è instabile, perchè genera circa 1000 byte di kernel shellcode che viene iniettato direttamente in memory. Se l'exploit fallisce (ad esempio sovrascrivendo l'indirizzo di memoria sbagliato), c'è un probabilità altissima di BSOD. Il BSOD generato da EternalBlue in sé non è pericoloso, e si risolve con un restart, ma tenete in conto questo: se durante un'indagine provocate un BSOD, oltre che alla perdita di "dati volatili" come operazioni in corso o impostazioni di sistema, esiste una piccola probabilità che il target OS non riesca a recuperare autonomamente, richiedendo un intervento manuale. Se inoltre nel target OS è in corso un system update, lanciare EternalBlue proprio in quel momento può essere fatale, e il target può non recuperare mai più dal BSOD (entrerà in loop e sarà necessario fare recovery dal backup). Affidarsi esclusivamente allo scanner per ottenere dei risultati, e lanciare l'exploit vero e proprio esclusivamente nel proprio laboratorio, o comunque su un target che vi ha già garantito il mutuo consenso (che qui è necessario per una questione molto ragionevole). Violare (o omettere) queste indicazioni nel corso di un'operazione costituisce l'instaurarsi delle basi per un reato informatico a tutti gli effetti, e qualora desideriate violare la legge, ricordatevi che la VPN non vi salverà. In compenso, le inbox per inviare un abuso al provider della vostra VPN sono sempre aperte.
In questi mesi ho estrapolato dei risultati molto interessanti riguardo MS17-010, e di seguito enumererò, secondo i risultati della mia campagna di operazioni di sicurezza offensive, il numero di paesi vulnerabili a EternalBlue dal più critico al meno vulnerabile. Il thread ovviamente non intende redirigere il lato oscuro e silenzioso di Inforge verso questi poveracci (perché tanto ho scritto agli amministratori, anche se non conoscere le lingue straniere a parte l'inglese è stato problematico), quanto piuttosto quello di creare consapevolezza in chiunque, quanta più possibile:
1° posto: Paesi latino-americani. Prima del mio intervento, queste zone erano in una situazione molto seria. Le condizioni di povertà di queste zone, non costituiscono una ragione valida per la loro esclusione dai programmi di educazione all'igiene digitale. Il denaro non dovrebbe essere il primo pensiero nella mente di qualcuno, almeno per me;
2° posto: India. Incredibile ma vero, molti ricercatori di sicurezza informatica che scrivono guide e rettificazioni sugli exploit su Google e Git sono indiani, eppure l'India era messa male;
3° posto: Spagna. Qui ho rilevato alcuni device anche moderni risultati positivi allo scanner;
4° posto: Russia. Pensavate davvero che questo paese fosse famoso per la presenza di presunti guru dell'hacking? Questo non lo so onestamente, ma l'aver trovato vari device (fra cui molto datati) vulnerabili a MS17-010 mi fa riflettere due volte sulle credenze della massa;
5° posto: Asia sud-orientale: identificato un cluster di paesi in Asia sud-orientale con varie edizioni di Windows vulnerabili all'exploit. Anche qui ho fatto arrivare il mio messaggio agli amministratori.
Per quanto riguarda l'Italia, sono contento di rivelare che sono alquanto stupito, non mi aspettavo che ci fosse così tanta accortezza negli italiani. I device vulnerabili da noi sono pochi, e quei pochi che risultano vulnerabili sono falsi positivi, o comunque operano dietro un firewall, risultando irraggiungibili dallo scanner (ping timed out). Comunque, non c'è molto da rassicurarsi, perché l'OS più diffuso in Italia è Android. Non ho studiato quest'OS, ma per fare una stima precisa dell'accortezza degli italiani in fatto di sicurezza informatica, bisognerebbe focalizzare le ricerche su Android (con che frequenza aggiornano l'OS, i programmi di protezione che ci utilizzano, versione e modello del device, la percentuale dei device rootati). Questo può essere fatto tramite un'investigazione simile a quella fatta da me con MS17-010 (uso di motori di ricerca come Censys, ZoomEye ecc). Conoscendo l'indole dell'italiano medio, temo sia molto difficile raggiungere dei risultati affidabili tramite i sondaggi.
Per concludere, MS17-010 è un exploit da laboratorio, e quando si effettua un indagine online, bisogna affidarsi ad uno scanner di rete (o alla sua controparte innoqua presente in Metasploit, ossia smb_psexec o smb/command/psexec). L'exploit originale leakato dagli Shadow Brokers è instabile, perchè genera circa 1000 byte di kernel shellcode che viene iniettato direttamente in memory. Se l'exploit fallisce (ad esempio sovrascrivendo l'indirizzo di memoria sbagliato), c'è un probabilità altissima di BSOD. Il BSOD generato da EternalBlue in sé non è pericoloso, e si risolve con un restart, ma tenete in conto questo: se durante un'indagine provocate un BSOD, oltre che alla perdita di "dati volatili" come operazioni in corso o impostazioni di sistema, esiste una piccola probabilità che il target OS non riesca a recuperare autonomamente, richiedendo un intervento manuale. Se inoltre nel target OS è in corso un system update, lanciare EternalBlue proprio in quel momento può essere fatale, e il target può non recuperare mai più dal BSOD (entrerà in loop e sarà necessario fare recovery dal backup). Affidarsi esclusivamente allo scanner per ottenere dei risultati, e lanciare l'exploit vero e proprio esclusivamente nel proprio laboratorio, o comunque su un target che vi ha già garantito il mutuo consenso (che qui è necessario per una questione molto ragionevole). Violare (o omettere) queste indicazioni nel corso di un'operazione costituisce l'instaurarsi delle basi per un reato informatico a tutti gli effetti, e qualora desideriate violare la legge, ricordatevi che la VPN non vi salverà. In compenso, le inbox per inviare un abuso al provider della vostra VPN sono sempre aperte.