Com’è successo per Wannacry è successo con “NotPetya”: i computer con Windows 10 a bordo non hanno avuto casi di infezione (fuorché casi sporadici) con il wiper malware “NotPetya“.
E’ la stessa Microsoft a stilare un report che indica alcuni dati statistici interessanti, come ad esempio che la maggior parte dei sistemi colpiti avevano Windows 7 e si trovavano perlopiù in Ucraina. Porta però anche alcuni dati inerenti la sicurezza che Windows 10 offre ed il comportamento specifico che ha avuto il malware “NotPetya” durante l’infezione dei computer.
La seguente infografica ne mostra il comportamento:
Come si può evincere ci sono almeno 4 importanti funzionalità di sicurezza che bloccano sul nascere comportamenti anomali tipici di un malware, e sono:
- Device Guard
- Secure Boot
- Credential Guard
- App locker
Il Device Guard consente solo alle app attendibili di essere avviate, questo grazie ad una corretta configurazione in ambito aziendale. Ulteriori informazioni in italiano sono reperibili qui: Sicurezza basata su virtualizzazione e criteri integrità (Windows 10) | Microsoft Docs
Il Secure Boot impedisce a “NotPetya” di sostituire il bootloader e quindi non consente che i dati vengano criptati, questo perchè viene protetto l’avvio del sistema ed il firmware correlato. L’avvio del computer può esser ripristinato correttamente usando un comune CD/DVD di Windows
Il Credential Guard permette che il file LSASS venga eseguito in modalità protetta e isolata, rendendo impossibile a “NotPetya” di eseguire il dump delle credenziali. E’ possibile che ne esegua il dump con i dati residenti in memoria, ma non ha assolutamente lo stesso successo / esito del processo originario.
App Locker invece blocca l’esecuzione di DLL non firmate e può bloccare l’esecuzione di processi come ad esempio psexec.exe
Come verificare se il nostro sistema è al sicuro
In aggiunta, per chi ha Windows 10 è raggiungibile una pagina creata ad hoc da Microsoft per verificare se il nostro sistema è al sicuro e se è aggiornato agli ultimi aggiornamenti, basta aprire questa pagina
Windows 10 Security, Windows Defender Antivirus, Firewall & Windows Hello
E’ utile anche scaricare ed eseguire questo strumento che verificherà se nella nostra rete ci sono computer vulnerabili all’EternalBlue, che sfrutta le vulnerabilità dell’SMBv1:
Eternal Blues | Omerez
Consigli per chi ha Windows 7
Per chi ha Windows 7 Microsoft consiglia di disabilitare o restringere alcune funzionalità come la condivisione di File e Stampanti (SMB) e la Gestione Remota con i seguenti comandi:
netsh firewall set service fileandprint
netsh firewall set service RemoteAdmin disable
E’ utile inoltre disabilitare l’esecuzione da remoto Psexec con questo comando:
FOR /F “usebackq tokens=2 delims=:” %a IN (`sc.exe sdshow scmanager`) DO sc.exe sdset scmanager D:(D;;0x00040002;;;NU)%a
Interessante il comportamento di NotPetya che viene modificato in base ai prodotti antivirus installati, infatti se risulta installato Kaspersky vengono distrutti i primo 10 settori del disco, se viene rilevato un prodotto Symantec non viene elaborata e sfruttata la vulnerabilità SMB.
Da notare che con il nuovo aggiornamento Fall Update di Ottobre saranno implementate numerose nuove funzioni, tra cui:
- la funzionalità EMET verrà integrata direttamente in Windows 10 (Emet verrà incluso nella prossima versione di Windows 10? )
- disabilitato come predefinito l’SMBv1 (Dal prossimo autunno Microsoft disabiliterà l’SMBv1 )
- migliorato ed introdotto il Windows Defender ATP
- introdotta funzionalità in Windows Defender “Controllo Accesso Cartelle“, utile contro i ransomware: impedirà ad applicazioni non autorizzate di eseguire modifiche alle cartelle di sistema e a cartelle impostare dall’utente
Per approfondimenti relativi l’articolo di Microsoft leggere qui: