Sabato 13 Giugno 2026 02:28:59 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Vulnerabilità e gestione delle patch

Il trucco di apertura file di Windows che potrebbe bloccare le condivisioni SMB senza crittografia

11 Maggio 2026 10:20Vulnerabilità e gestione delle patchNord America / USADEEPAUDIT

Una tecnica GhostLock segnalata punta a una classe di interruzione più silenziosa: bloccare l’accesso ai file di rete abusando del normale comportamento delle condivisioni di Windows, non crittografando i dati.

Quando i difensori pensano al ransomware, di solito immaginano file crittografati e danni evidenti. La segnalazione su GhostLock punta a un diverso tipo di tattica di pressione: un pattern di apertura file di Windows che può mantenere i file SMB non disponibili lasciandone intatto il contenuto. Questo è importante perché gli attacchi alla disponibilità possono essere operativamente devastanti anche quando nessun dato viene alterato.

Fatti rapidi

  • GhostLock è l’etichetta associata a una tecnica segnalata basata su CreateFileW di Windows.
  • La tecnica è descritta come in grado di colpire file SMB e funzionare senza crittografia.
  • I modi di condivisione di Windows controllano se i processi successivi possono leggere, scrivere o eliminare un file aperto.
  • Su SMB, queste regole di condivisione vengono trasmesse attraverso la rete e applicate dal server.
  • L’impatto pratico dipende dai permessi, dai modelli di utilizzo dei file e dalla configurazione lato server.

Come funziona il punto di pressione

Il nucleo tecnico non è una logica malware esotica. È il modo in cui Windows gestisce le aperture dei file. CreateFileW consente a un processo di richiedere l’accesso e definire allo stesso tempo il comportamento di condivisione. Se un file viene aperto con impostazioni di condivisione restrittive, i tentativi di accesso successivi possono fallire con una violazione di condivisione fino alla chiusura dell’handle.

La cosa diventa più interessante sulle condivisioni SMB, perché un percorso di rete come una condivisione UNC non è solo un riferimento locale a un file. Il protocollo SMB trasporta la richiesta di apertura, incluso il contratto di condivisione, al server. In termini pratici, un processo che apre molti file su un’unità condivisa con impostazioni esclusive potrebbe creare un’interruzione in stile lockout senza modificare nemmeno un byte su disco.

Da una prospettiva difensiva, questo è importante per un motivo: l’effetto è più vicino a un attacco alla disponibilità che al classico ransomware. Potrebbe non esserci alcun payload crittografato, nessuna ondata di rinomina dei file e nessun evento di corruzione evidente. Invece, gli utenti potrebbero semplicemente scoprire che i file non possono essere riaperti, modificati o eliminati mentre gli handle restano attivi.

Perché i team di sicurezza dovrebbero preoccuparsene

Le informazioni disponibili supportano un’analisi del rischio, non un giudizio definitivo sull’exploitabilità in ogni ambiente Windows. L’impatto pratico probabilmente varierebbe in base alla versione, ai permessi della condivisione e al modo in cui le applicazioni sulla rete gestiscono l’accesso concorrente ai file. In alcune implementazioni, anche un account con privilegi limitati ma ampia visibilità sulle condivisioni potrebbe creare un’interruzione significativa.

Questo rende la telemetria più preziosa delle supposizioni. I file server, i log SMB e i dati di processo sugli endpoint possono aiutare a identificare improvvisi picchi di aperture esclusive o handle di lunga durata. I team dovrebbero inoltre esaminare applicazioni e script che si basano su modi di condivisione restrittivi, soprattutto su percorsi remoti, e confermare che l’accesso esclusivo sia davvero necessario.

Il principio del minimo privilegio, la segmentazione delle condivisioni e un monitoraggio accurato sono i controlli principali in questo caso. È un promemoria del fatto che un attaccante non deve sempre distruggere i dati per causare seri problemi operativi; a volte basta abusare delle regole che governano l’accesso fin dall’inizio.

Conclusione

GhostLock, come descritto, è meno una storia sulla crittografia e più una lezione di semantica. In Windows e SMB, la linea tra normale gestione dei file e blocco dirompente può essere sottile. La lezione più ampia è semplice: i guasti di disponibilità possono emergere da meccanismi ordinari, ed è per questo che i difensori devono osservare come si comportano i sistemi, non solo come appare il malware.

TECHCROOK

unità di backup esterna: Gli incidenti di disponibilità possono rendere irraggiungibili i file condivisi anche quando i dati sono intatti. Un’unità esterna separata è un modo semplice per conservare copie offline delle cartelle importanti, così i team possono ripristinare il lavoro se l’accesso a una condivisione di rete viene interrotto.

Scheda Techcrook: external backup drive

WIKICROOK

  • CreateFileW: Un’API di Windows utilizzata per aprire o creare file e dispositivi, incluse le impostazioni che controllano la condivisione.
  • SMB: Un protocollo di rete per file e stampanti condivisi negli ambienti Windows.
  • Modalità di condivisione: La regola di accesso che decide se altri processi possono leggere, scrivere o eliminare un file aperto.
  • Violazione di condivisione: L’errore restituito quando una nuova apertura confligge con le impostazioni di condivisione di un handle di file esistente.
  • Attacco alla disponibilità: Una tattica che interrompe l’accesso a sistemi o file senza necessariamente modificarne il contenuto.
DEEPAUDIT
AutoreDEEPAUDIT

Vulnerabilità e gestione delle patch