Disabilitare SMBv1 nei server Exchange, a rischio la sicurezza delle infrastrutture informatiche: i dettagli - Cyber Security 360

L'ANALISI TECNICA

Disabilitare SMBv1 nei server Exchange, a rischio la sicurezza delle infrastrutture informatiche: i dettagli

Arriva direttamente da Microsoft il consiglio agli amministratori di rete di disabilitare il vecchio protocollo di rete SMBv1 nei server Exchange: così facendo è possibile fornire una migliore protezione contro minacce e attacchi malware del calibro di WannaCry ed Emotet. Ecco tutti i dettagli

13 Feb 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Il Team Exchange di Microsoft ha diramato sul blog Tech Community un comunicato rivolto a tutti gli amministratori di sistema delle organizzazioni sollecitandoli a disabilitare il protocollo SMBv1 eventualmente ancora in esecuzione sui propri Server Exchange nelle versioni 2013, 2016, 2019 per proteggersi dalle minacce continue che sfruttano le vulnerabilità insite nel protocollo stesso.

È ben noto, infatti, come vari exploit creati dall’NSA, tra cui il famigerato EternalBlue, siano stati utilizzati nel modus operandi di WannaCry, TrickBot ed Emotet, per la loro propagazione laterale all’interno delle stesse reti colpite.

Disabilitare SMBv1 nei server Exchange: ecco perché

A quanto riferito dagli sviluppatori Microsoft, non è necessario continuare ad eseguire il protocollo SMB nella sua prima versione ormai obsoleta (in uso da oltre 30 anni) sulle recenti versioni di Exchange, perché non contiene quei miglioramenti sulla sicurezza previsti nelle versioni successive distribuite (crittografia, controlli di integrità, autenticazione guest sicura per citarne alcune).

Microsoft ha deprecato pubblicamente il protocollo SMBv1 già dal 2014, cessandone l’installazione predefinita sui Server Windows 2016 ver.1709 e su Windows 10 ver.1709. Le versioni più recenti dei sistemi operativi Windows utilizzano già la versione SMBv3.

Questo avviso è arrivato a pochi giorni dalla fine del supporto di Exchange Server 2010 per consigliare quanto prima la migrazione sulle versioni più recenti.

A tal proposito il Team Exchange raccomanda di verificare prima la corretta configurazione del server di controllo DAG per il supporto quantomeno della versione SMBv2 e di procedere solo dopo con le operazioni di verifica dell’attivazione del protocollo SMBv1 ed in caso affermativo con le azioni di disabilitazione secondo dei precisi comandi PowerShell.

Come verificare se SMBv1 è attivo

Innanzitutto, occorre avviare la console PowerShell: è sufficiente premere la combinazione di tasti Win+R insieme sulla tastiera per aprire la finestra Esegui, scrivere powershell nel campo Apri e premere Invio. Windows PowerShell verrà avviata con i diritti dell’utente corrente. Qualora si desiderasse passare dalla modalità normale alla modalità amministratore, digitare il seguente comando e premere Invio:

Start-Process PowerShell -Verb runAs

dando il consenso all’applicazione di Windows PowerShell di apportare modifiche sul dispositivo.

WHITEPAPER
Stop alle minacce informatiche grazie alla Threat Intelligence avanzata. Scopri come nel white paper
Sicurezza
Cybersecurity

Per verificare se SMBv1 è abilitato su un server Windows, è possibile eseguire dei comandi PowerShell in base alla determinata versione di Windows Server.

Windows Server 2008 R2

Per impostazione predefinita, SMBv1 è abilitato in Windows Server 2008 R2. Pertanto, solo se il comando restituisce un valore SMB1 uguale a 0, risulta disabilitato.

Get-Item HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters | ForEach-Object {Get-ItemProperty $_.pspath}

Windows Server 2012

Se il comando ritorna false, SMBv1 non è abilitato.

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Windows Server 2012 R2 o versioni successive

Se il comando ritorna false, SMBv1 non è abilitato.

(Get-WindowsFeature FS-SMB1).Installed

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Come disabilitare SMBv1 nei server Exchange

Qualora SMBv1 risulti abilitato, i comandi per disabilitarlo via PowerShell sono i seguenti.

Windows Server 2008 R2

Set-ItemProperty -Path “HKLM:SYSTEMCurrentControlSetServicesLanmanServerParameters” -Name SMB1 -Type DWORD -Value 0 –Force

Windows Server 2012

Set-SmbServerConfiguration -EnableSMB1Protocol $false -force

Windows Server 2012 R2 o versioni successive

Disable-WindowsOptionalFeature -Online -FeatureName smb1protocol

Set-SmbServerConfiguration -EnableSMB1Protocol $false

Considerazioni finali

La disabilitazione di un vecchio protocollo di rete come può essere SMBv1 rappresenta solo un piccolo aspetto che riguarda la sicurezza di un’infrastruttura informatica. Le indicazioni consigliate dalla comunità Microsoft per i problemi relativi al protocollo SMB su Exchange devono essere prese come regola generale quando si ha a che fare con nuove e preesistenti installazioni di tools in uso per la produzione e la gestione aziendale.

È dunque importante:

  1. eseguire sempre gli aggiornamenti di sicurezza con le ultime release e patch che i fornitori legittimi mettono periodicamente a disposizione;
  2. tenere attivo il Windows Firewall e disattivare tutti i servizi non necessari;
  3. adottare una corretta politica per la gestione dei privilegi per le utenze, prestando particolare attenzione alla custodia e robustezza delle password;
  4. disattivare gli account amministrativi convenzionali utilizzandone altri opportunamente creati al bisogno.
WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

Sono solo alcuni accorgimenti da adottare per diminuire la superfice di attacco della propria infrastruttura informatica.

@RIPRODUZIONE RISERVATA