WannaCry: Microsoft rilascia una patch per Windows XP

Il supporto a Windows XP è terminato circa 3 anni fa, ma la presenza del ransomware ha costretto Microsoft ad un'azione insolita.

Microsoft ha ufficialmente chiuso il proprio supporto per la maggior parte dei computer Windows XP nel 2014, ma oggi sta fornendo una patch pubblica per il sistema operativo di 16 anni fa. Come descritto in un post sul suo blog di sicurezza, l’azienda ha preso questa insolita decisione dopo che molti utenti, in tutto il mondo (tra cui il National Health Service inglese) hanno subito un attacco dal ransomware WannaCry.

Microsoft aveva rilasciato una patch di sicurezza a marzo, ma ora è disponibile un aggiornamento anche per i sistemi non più supportati, tra i quali Windows XP, Windows 8 e Windows Server 2003 (ma non Vista), scaricabile a questo indirizzo.

Naturalmente, è molto importante che chi ha ancora in esecuzione uno di questi vecchi sistemi operativi, scarichi immediatamente la patch; se si possiede un sistema vulnerabile e non è possibile installare la patch per qualche motivo, Microsoft offre due consigli.

Patch: e se non si installa?

  1. E’ possibile disattivare SMBv1 con i passaggi documentati all’articolo 2696547 della Microsoft Knowledge Base.
  2. E’ possibile aggiungere una regola sul router o sul firewall per bloccare il traffico SMB in ingresso sulla porta 445.

Un ulteriore post sul blog spiega come il malware si diffonde. Su versioni più recenti, come nel caso di Windows 7, Windows 8.1 e Windows 10, l’aggiornamento di marzo ha corretto la vulnerabilità che il ransomware sfrutta (rivelato, all’inizio di quest’anno, dal gruppo di hacker “The Shadow Brokers”).

Al momento, non è ancora stato confermato come le infezioni iniziali si siano verificate, ma è comunque interessante notare come il malware WannaCrypt si concentri esclusivamente su sistemi operativi Windows 7/8 e precedenti, ancora vulnerabili all’attacco.

WannaCry: Microsoft rilascia una patch per Windows XP WannaCrypt ransom executable TechNinja

Una volta che si trova su un computer, WannaCry continua a bloccare i file dell’utente fino a mostrare il messaggio di riscatto. La diffusione della release iniziale è stata effettivamente bloccata (dopo aver infettato più di 123.000 computer). Tuttavia, come nota @MalwareTechBlog, chiunque potrebbe modificare l’attacco per rimuovere il killswitch ed iniziare, nuovamente, ad attaccare i computer.

Questo può accadere anche senza i collegamenti phishing, perché un’altra parte dell’exploit può eseguire la ricerca di un componente del server vulnerabile (SMBv1) su macchine Windows non aggiornate, fino ad infettarle in remoto.