I lettori come te aiutano a sostenere MUO. Quando effettui un acquisto utilizzando i link sul nostro sito, potremmo guadagnare una commissione di affiliazione.
Microsoft ha creato Strumentazione gestione Windows (WMI) per gestire il modo in cui i computer Windows allocano le risorse in un ambiente operativo. WMI fa anche un'altra cosa importante: facilita l'accesso locale e remoto alle reti di computer.
Sfortunatamente, gli hacker black hat possono dirottare questa funzionalità per scopi dannosi attraverso un attacco persistente. Pertanto, ecco come rimuovere la persistenza WMI da Windows e mantenerti al sicuro.
Cos'è la persistenza WMI e perché è pericolosa?
La persistenza WMI fa riferimento a un utente malintenzionato che installa uno script, in particolare un listener di eventi, che viene sempre attivato quando si verifica un evento WMI. Ad esempio, ciò si verificherà quando il sistema si avvia o l'amministratore di sistema fa qualcosa sul PC, come aprire una cartella o utilizzare un programma.
Gli attacchi di persistenza sono pericolosi perché sono furtivi. Come spiegato su Script Microsoft, l'attaccante crea una sottoscrizione di eventi WMI permanente che esegue un payload che funziona come un processo di sistema e cancella i log della sua esecuzione; l'equivalente tecnico di un furbo evasore. Con questo vettore di attacco, l'attaccante può evitare di essere scoperto attraverso il controllo della riga di comando.
Come prevenire e rimuovere la persistenza WMI
Le sottoscrizioni agli eventi WMI sono sapientemente programmate per evitare il rilevamento. Il modo migliore per evitare attacchi di persistenza è disabilitare il servizio WMI. Ciò non dovrebbe influire sulla tua esperienza utente complessiva a meno che tu non sia un utente esperto.
L'opzione migliore successiva consiste nel bloccare le porte del protocollo WMI configurando DCOM in modo che utilizzi una singola porta statica e bloccando tale porta. Puoi consultare la nostra guida su come chiudere le porte vulnerabili per ulteriori istruzioni su come eseguire questa operazione.
Questa misura consente l'esecuzione locale del servizio WMI bloccando l'accesso remoto. Questa è una buona idea, soprattutto perché l'accesso al computer remoto comporta la propria quota di rischi.
Infine, puoi configurare WMI per scansionare e avvisarti delle minacce, come ha dimostrato Chad Tilbury in questa presentazione:
Un potere che non dovrebbe essere nelle mani sbagliate
WMI è un potente gestore di sistema che diventa uno strumento pericoloso nelle mani sbagliate. Peggio ancora, non sono necessarie conoscenze tecniche per eseguire un attacco persistente. Le istruzioni sulla creazione e l'avvio di attacchi di persistenza WMI sono disponibili gratuitamente su Internet.
Quindi, chiunque abbia questa conoscenza e un breve accesso alla tua rete può spiarti da remoto o rubare dati con appena un'impronta digitale. Tuttavia, la buona notizia è che non ci sono assoluti nella tecnologia e nella sicurezza informatica. È ancora possibile prevenire e rimuovere la persistenza WMI prima che un utente malintenzionato provochi gravi danni.
