SMB è un protocollo che consente ai computer di condividere file e hardware (come stampanti e dischi rigidi esterni) quando sono collegati alla stessa rete.
Con l'aumentare della popolarità del protocollo SMB, aumenta anche il numero di attacchi malevoli. Il protocollo SMB è vulnerabile agli attacchi informatici perché le sue vecchie versioni non utilizzano la crittografia, il che significa che qualsiasi hacker che sa come sfruttarlo può ottenere l'accesso ai tuoi file e dati.
E ci sono altri rischi associati a SMB, che rendono essenziale capire come funziona il protocollo, i suoi diversi tipi e come rimanere protetti.
Cos'è il protocollo SMB?
SMB sta per Server Message Block. È un protocollo di rete utilizzato per condividere dati tra computer e dispositivi su una rete locale o geografica. Il protocollo consente ai computer della rete locale di condividere risorse come file, stampanti e altri dispositivi.
SMB è stato sviluppato a metà degli anni '80 da IBM per la condivisione di file in DOS, ma da allora è stato adottato da molti altri sistemi operativi, tra cui Windows, Linux e macOS di Microsoft.
Il protocollo SMB è parte integrante di molte operazioni quotidiane per aziende e organizzazioni, poiché semplifica l'accesso a file e risorse da altri computer sulla rete.
Immagina di lavorare con un team in cui i membri lavorano in remoto da luoghi diversi. In questi casi, il protocollo SMB è un ottimo modo per condividere file in modo rapido e semplice. Consentirà a ciascun membro del team di accedere agli stessi dati e collaborare ai progetti. Più persone possono visualizzare o modificare lo stesso file in remoto come se fosse presente sul proprio computer.
Come funziona il protocollo SMB?
Il protocollo SMB segue il metodo di richiesta e risposta per creare una connessione tra il client e il server. Ecco i passaggi in cui funziona:
Passo 1. Richiesta dal cliente: Il client (il dispositivo che effettua la richiesta) invia una richiesta al server utilizzando i pacchetti SMB. Il pacchetto contiene il percorso completo del file o della risorsa richiesti.
Passo 2. Risposta dal server: il server (il dispositivo con accesso al file o alla risorsa richiesta) valuta la richiesta e, in caso di successo, risponde con un pacchetto SMB contenente ulteriori informazioni su come accedere al dati.
Passaggio 3. Processo per cliente: il client riceve la risposta e quindi elabora i dati o la risorsa di conseguenza.
Cerchiamo di capirlo con un esempio. Supponi di voler stampare un documento dalla tua cabina e la stampante si trova in un'altra stanza o area dell'ufficio. Dopo aver comandato di stampare il documento, il tuo computer (il client) invierà la richiesta utilizzando i pacchetti SMB alla stampante (il server) per stamparlo. La stampante valuterà la richiesta e quindi risponderà utilizzando i pacchetti SMB sullo stato, ad esempio se il documento è in stampa, in coda per la stampa o non può essere stampato a causa della stampante errore.
Tipi di protocollo SMB
Con il progresso della tecnologia, anche il protocollo SMB ha visto alcuni aggiornamenti. I vari tipi di protocolli SMB oggi disponibili sono:
- PMI versione 1: Questa è la versione originale del protocollo SMB rilasciato nel 1984 da IBM per lo scambio di file su DOS. Microsoft successivamente lo ha modificato per l'utilizzo su Windows.
- CIFS: Common Internet File System (CIFS) è una versione modificata di SMBv1, sviluppata principalmente per supportare la condivisione di file di dimensioni maggiori. È stato rilasciato per la prima volta con Windows 95.
- PMI versione 2: Microsoft ha rilasciato SMB v2 nel 2006 con Windows Vista come alternativa più sicura ed efficiente alle versioni precedenti. Questo protocollo ha introdotto funzionalità come l'autenticazione migliorata, pacchetti di dimensioni maggiori, meno comandi e una migliore efficienza.
- PMI versione 3: Microsoft ha rilasciato SMB v3 con Windows 8. È stato progettato per migliorare le prestazioni e introdurre il supporto per la crittografia end-to-end e metodi di autenticazione migliorati.
- PMI Versione 3.1.1: L'ultima versione del protocollo SMB è stata rilasciata nel 2015 con Windows 10 ed è completamente compatibile con tutte le versioni precedenti. Introduce più funzionalità di sicurezza, come la crittografia AES-128 e funzionalità di sicurezza estese per affrontare attacchi dannosi.
Quali sono i pericoli del protocollo SMB?
Sebbene il protocollo SMB sia stato una grande risorsa per molte aziende, è anche associato ad alcuni rischi per la sicurezza. Gli hacker hanno preso di mira questo protocollo per ottenere l'accesso ai sistemi e alle reti aziendali. È diventato uno dei vettori di attacco più comuni utilizzati dai criminali informatici per violare reti e sistemi aziendali.
Quel che è peggio è che, nonostante le versioni aggiornate di SMB disponibili, molti dispositivi Windows sono ancora in esecuzione sulla versione 1 o 2 meno sicura e meno sicura. Ciò aumenta le possibilità che attori malintenzionati sfruttino questi dispositivi e ottengano l'accesso a dati sensibili.
Ecco gli exploit SMB più comuni.
Attacchi di forza bruta
I vettori di attacco più comuni utilizzati dagli hacker contro il protocollo SMB includono attacchi di forza bruta. In tali attacchi, gli hacker utilizzano strumenti automatizzati per indovinare le combinazioni corrette di nome utente e password. Una volta ottenuto l'accesso alla rete, possono rubare dati sensibili o installare software dannoso nel sistema.
Attacchi man-in-the-middle
Un altro vettore di attacco utilizzato contro il protocollo SMB sono gli attacchi man-in-the-middle. In questo caso, un hacker inserisce nella rete un codice dannoso che gli consente di intercettare la comunicazione tra due sistemi. Possono quindi visualizzare e modificare i dati scambiati.
Attacchi di overflow del buffer
Gli hacker utilizzano anche attacchi di overflow del buffer contro il protocollo SMB. In tali attacchi, gli hacker inviano un'enorme quantità di dati per riempire la memoria di un sistema di spazzatura, bloccandolo così. Questa tecnica viene spesso utilizzata per installare software dannoso nel sistema, che può essere utilizzato per ottenere l'accesso a dati riservati o lanciare un attacco denial-of-service.
Attacchi ransomware
Anche gli attacchi ransomware rappresentano una grave minaccia per il protocollo SMB. In questo tipo di attacco, gli hacker crittografano i dati archiviati su un sistema e quindi richiedono un riscatto in cambio di chiavi di crittografia. Se il riscatto non viene pagato, possono eliminare definitivamente tutti i dati crittografati.
Esecuzione di codice remoto
L'esecuzione di codice in modalità remota è un altro vettore di attacco utilizzato contro il protocollo SMB. In tali attacchi, gli hacker iniettano codice dannoso nel sistema, che consente loro di assumerne il controllo da remoto. Una volta che hanno avuto accesso al sistema, possono rubare dati riservati o sfruttare altre vulnerabilità della rete.
Rimani protetto durante l'utilizzo del protocollo SMB
Sebbene esistano numerosi rischi associati al protocollo SMB, è ancora una parte importante di Windows. Pertanto, è fondamentale garantire che tutti i sistemi e le reti aziendali siano protetti da attacchi dannosi.
Per rimanere protetto, dovresti utilizzare solo l'ultima versione del protocollo SMB, aggiornare regolarmente il tuo software di sicurezza e monitorare la tua rete per attività sospette. È inoltre importante formare il personale sulle migliori pratiche per la sicurezza informatica e garantire che tutti gli utenti utilizzino password complesse. Seguendo queste misure, puoi garantire che la tua azienda rimanga al sicuro da attacchi dannosi.