Wannacry: mettiamo in sicurezza il nostro Windows Server

Postato in data 26 Giugno 2017 da Christian Cantinelli - Aggiornato il 27 Giugno 2017

A metà Maggio è stato registrato uno dei più massicci attacchi su scala mondiale. Parliamo di circa 74 Paesi mandati in tilt e migliaia di computer compromessi, tra cui utenze casalinghe, aziendali, pubbliche amministrazioni e strutture sanitarie. Tutti infettati dal famigerato ransomware WannaCry (anche detto Wanna Decryptor 2.0, WCry 2, WannaCry 2 e Wanna Decryptor 2).

wannacry security

Ma cosa fa esattamente e come proteggerci? Vediamolo

WannaCry: cos’è?

WannaCry è un ransomware che infetta sistemi Windows (sia desktop che server) tramite attacchi multipli tra cui il phishing, ma quello più pericoloso è l’infezione tramite una vulnerabilità conosciuta (che Microsoft ha chiuso pochi mesi fa grazie agli aggiornamenti automatici).

Tale vulnerabilità è nel protocollo RDP di Windows (ovvero il Desktop Remoto) che SMB (Server Message Block) ed ha la peculiarità quasi unica: è completamente invisibile all’utente finale (non richiede azioni da parte dell’utente).

Una volta infettato il PC avvengono due cose:

  • inizia una scansione della rete al quale è collegato il PC infetto per replicarsi sugli altri PC
  • effettua una criptazione di tutti i files del disco e chiede (tramite una maschera) un riscatto in BitCoin entro una determinata ora per avere la chiave di sblocco e ripristinare i files. Passato l’orario stabilito l’importo aumenta a dismisura

Questa è una delle maschere (varianti) che apparirà a video:

wannacry screenshot

Il riscatto è in BitCoin, ovvero tramite moneta virtuale non tracciabile e la finestra ci spiega anche come acquistarla convertendo denaro reale. Molti utenti, purtroppo, sono stati costretti a pagare mentre altri si sono visti perdere tutti i dati.

E’ quindi evidente che WannaCry è un “demone” di internet, che distrugge qualsiasi cosa almeno che non si paghi un riscatto. Il problema è enorme: pensiamo al caso Regno Unito, con diversi ospedali (NHS) colpiti dal ransomware e interi reparti bloccati giorni interi. Anche grandi società, tra cui FedEx, Renault, Deutsche Bahn, MegaFon, Sberbank, Telefónica e altre sono state oggetto di attacco con settori completamente bloccati.

Come possiamo proteggerci?

Inutile dire che il miglior modo di proteggersi è tenere aggiornato il proprio PC e server Windows, abilitando gli aggiornamenti automatici.

Windows Update Screen

Per chi ha un Microsoft Server Windows 2016Microsoft Server Windows 2012 (tutte le versioni) consigliamo due operazioni in più che alzano ancora di più il livello di sicurezza del server:

  • Cambio porta RDP
  • Proteggere tramite Firewall la porta RDP

Per la prima operazione, possiamo agire direttamente dal registro di sistema:

  • Cliccare simultaneamente il tasto  + R , che aprirà la finestra “Esegui”. Digitare il comando regedit e dare invio:

windows esegui regedit

  • Si aprirà l’editor del registro di Windows. Ora navighiamo l’albero di destra cercando la chiave di registro HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber e editiamola in modalità Decimale .  La potra di default è la 3389, cambiamola con un altra non standard e non usata da altri servizi, ad esempio con la 43389

windows regedit

  • Riavviamo il server (ATTENZIONE: prima di procedere al riavvio, assicuratevi che la nuova porta sia aperta sul firewall)

Dopo il riavvio, il servizio RDP avrà come porta la 43389 (come in esempio).

Al termine, proteggiamo la porta con il firewall di windows abilitando solo gli indirizzi IP sicuri da cui ci colleghiamo.

Clicca per votare questo articolo!
[Voti totali: 0 Media: 0]
Christian Cantinelli

Discussione

3 commenti presenti
  • Fabio ha commentato il 2017-06-27 18:55:20

    Ciao
    aggiungo anche che la buon vecchia abitudine del Back Up può fare la differenza. Molte aziende purtroppo non lo fanno più o utilizzano backup sempre collegati in rete.


    • Christian Cantinelli ha commentato il 2017-06-28 09:16:17

      Ciao Fabio,

      giustissimo! Un backup esterno è sempre bene averlo e non collegato direttamente alla macchina.
      Per essere sicuri al 100%, sarebbe utile avere un backup con agent che si collega ad un server esterno e solo questo puo’ lanciare backup/restore.
      La nostra soluzione per questo è il backup R1Soft CDP che abbiamo già nelle nostre offerte:

      https://www.serverplan.com/servizi-avanzati/backup-orario

      Buona giornata!


    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *