SMB nel 2025: Vulnerabilità note, evoluzione e strategie di mitigazione

Il protocollo Server Message Block (SMB) continua a essere una componente infrastrutturale fondamentale negli ambienti Windows, facilitando la condivisione di file e risorse di rete. Nel 2025, la sua ubiquità rappresenta sia un vantaggio funzionale sia una superficie di attacco critica, rendendo la comprensione e la mitigazione delle sue vulnerabilità una priorità assoluta per i professionisti della cybersecurity. Questo rapporto approfondisce l'evoluzione storica di SMB, la sua pervasiva diffusione negli ambienti on-premise e cloud, e lo stato attuale delle vulnerabilità note.

L'analisi rivela che le versioni legacy di SMB, in particolare SMBv1, rimangono un rischio significativo a causa della loro insicurezza intrinseca e del loro ruolo in attacchi passati di alto profilo come WannaCry e NotPetya. Le minacce emergenti nel 2025 includono attacchi basati sull'intelligenza artificiale (AI) che aumentano la sofisticazione del ransomware e delle campagne di phishing, sfruttando spesso le debolezze di SMB come vettore di accesso iniziale. Le PMI sono particolarmente vulnerabili, affrontando un impatto sproporzionato dagli attacchi ransomware a causa di risorse limitate e difese spesso obsolete.

Il rapporto evidenzia l'importanza cruciale delle pratiche di hardening, con Windows Server 2025 che introduce nuove funzionalità di sicurezza avanzate per rafforzare le difese SMB. La migrazione al cloud, sebbene offra benefici, sposta la superficie di attacco e richiede configurazioni di sicurezza specifiche per servizi come Azure Files e AWS FSx. Le raccomandazioni chiave per il 2025 includono la disabilitazione obbligatoria di SMBv1, l'implementazione di crittografia e firma SMB, l'adozione di autenticazione a più fattori (MFA) e Kerberos, la segmentazione della rete e l'aggiornamento costante dei sistemi. È inoltre imperativo adottare un'architettura Zero Trust e investire nella formazione sulla consapevolezza della sicurezza dei dipendenti per costruire una postura di difesa resiliente contro le minacce in evoluzione.

1. Introduzione: Il Ruolo Duraturo di SMB negli Ecosistemi Windows

Il protocollo Server Message Block (SMB) si erge come una pietra angolare della comunicazione di rete, facilitando funzioni essenziali come la condivisione di file e stampanti in ambienti diversi. La sua pervasività, che si estende per oltre trent'anni, sottolinea il suo ruolo critico sia nelle reti aziendali che nell'internet più ampio. Nel 2025, comprendere la postura di sicurezza di SMB non è semplicemente un esercizio tecnico, ma un imperativo strategico, data la crescente sofisticazione delle minacce informatiche. Questo rapporto si propone di fornire un'analisi approfondita delle vulnerabilità SMB note negli ambienti Windows, tracciando l'evoluzione del protocollo, valutando la sua attuale diffusione nelle infrastrutture on-premise e cloud, dettagliando i vettori di attacco prevalenti, esaminando la sua profonda connessione con il ransomware e delineando strategie di mitigazione avanzate.  

SMB è un protocollo di condivisione di file di rete fondamentale che consente ai computer di comunicare tra loro e di accedere a file condivisi, stampanti e altre risorse di rete. Funziona come un protocollo client-server, dove un client effettua richieste a un server, facilitando la condivisione di file e stampanti tra computer e consentendo l'accesso remoto ai file. Un utente può aprire, leggere, creare, modificare ed eliminare file su un server remoto come se fossero locali. Originariamente progettato da IBM negli anni '80 per trasformare l'accesso ai file locali di DOS in un file system di rete, SMB ha permesso di accedere ai file su computer separati come se fossero sul disco rigido locale dell'utente, utilizzando un protocollo di rete comune. La sua adozione diffusa continua nelle reti aziendali e su internet, rendendolo una componente critica dell'infrastruttura IT moderna.  

Il panorama delle minacce informatiche nel 2025 è caratterizzato da una crescente sofisticazione e da attacchi implacabili, che prendono di mira in particolare le piccole e medie imprese (PMI). Questo ambiente dinamico richiede un approccio proattivo e in continua evoluzione alla sicurezza SMB, andando oltre le misure reattive. La pervasività e la funzione critica di SMB lo rendono intrinsecamente un obiettivo attraente. La sua ubiquità crea una vasta superficie di attacco; anche difetti minori o configurazioni errate possono avere un impatto diffuso. Questa situazione evidenzia che la sicurezza di SMB non riguarda solo la correzione di vulnerabilità specifiche, ma la gestione di una superficie di attacco fondamentale e di alto valore che è difficile da isolare o eliminare completamente. Le organizzazioni non possono semplicemente "rimuovere" SMB; devono proteggerlo rigorosamente. La natura fondamentale di SMB implica che le sue vulnerabilità hanno un effetto a cascata sull'intera infrastruttura di rete, rendendo la sua sicurezza uno sforzo continuo e ad alta priorità, non una soluzione una tantum.  

Gli obiettivi di questo rapporto sono fornire un'analisi completa e lungimirante delle vulnerabilità SMB negli ambienti Windows per il 2025. Verrà fornito un contesto storico dell'evoluzione di SMB, analizzata la sua attuale prevalenza e le tendenze di adozione, anche nei servizi cloud, dettagliati i vettori di attacco comuni ed emergenti e il loro impatto, evidenziato il legame critico tra le vulnerabilità SMB e il ransomware, e delineate strategie di mitigazione avanzate e le migliori pratiche per la messa in sicurezza di SMB nel 2025.

2. L'Evoluzione del Protocollo Server Message Block (SMB)

Il protocollo Server Message Block (SMB) ha subito trasformazioni significative dalla sua nascita, evolvendosi da un meccanismo di condivisione file di base a un protocollo sofisticato di livello enterprise. Comprendere questa storia è fondamentale per cogliere il panorama attuale della sicurezza, poiché le versioni legacy continuano a rappresentare rischi sostanziali.

2.1 Dalle Origini di IBM alle Iterazioni Moderne di Microsoft

Lo sviluppo iniziale di SMB è stato opera di IBM negli anni '80, con l'obiettivo di abilitare file system di rete su DOS. Il suo scopo originale era consentire l'accesso a file su computer separati come se fossero locali, utilizzando un protocollo di rete comune. La prima versione di SMB operava su NetBIOS, utilizzando principalmente le porte TCP 137, 138 e 139 per i servizi di nome, i datagrammi e i servizi di sessione, rispettivamente. Nel 1990, Microsoft ha integrato SMB nel suo prodotto LAN Manager, segnando un passo significativo nella sua adozione diffusa negli ecosistemi Windows.  

Durante la metà degli anni '90, con Windows 95, Microsoft ha tentato di rinominare SMB in Common Internet File System (CIFS) e ha pubblicato bozze di standard all'IETF. CIFS è ora ampiamente considerato un dialetto legacy, riferendosi specificamente a SMB 1.0, noto per la sua natura "chiacchierona" ("chatty"), le scarse prestazioni su reti geografiche e i difetti intrinseci. Il progetto Samba, avviato nel 1991 da Andrew Tridgell, mirava a decodificare il protocollo SMB/CIFS per consentire l'interoperabilità tra sistemi operativi simili a UNIX e reti Windows.  

Il protocollo ha visto diversi aggiornamenti significativi:

• SMB 1.0 (Anni '80): Il protocollo originale progettato da IBM, successivamente integrato da Microsoft. Forniva funzionalità di condivisione file di base ma aveva funzionalità di sicurezza limitate ed è ora considerato non sicuro per l'uso.  
• SMB 2.0 (2006): Introdotto con Windows Vista e Windows Server 2008, ha rappresentato una revisione importante. Ha ridotto significativamente la "chiacchierosità" del protocollo semplificando i comandi (da centinaia a 19), migliorato le prestazioni per i trasferimenti di file di grandi dimensioni e aggiunto "handle di file durevoli" per una riconnessione trasparente dopo brevi interruzioni di rete.  
• SMB 2.1 (2009): Rilasciato con Windows 7 e Windows Server 2008 R2, questo aggiornamento minore includeva miglioramenti come il leasing e la memorizzazione nella cache.  
• SMB 3.0 (2012): Lanciato con Windows 8 e Windows Server 2012, SMB 3.0 (noto anche come SMB 2.2) ha introdotto modifiche sostanziali al protocollo. Le caratteristiche chiave includevano SMB Direct (SMB su Remote Direct Memory Access - RDMA) e SMB Multichannel (più connessioni per sessione SMB) per aumentare le prestazioni, in particolare nei data center virtualizzati. Ha anche introdotto significative capacità di sicurezza e gestione.  
• SMB 3.0.2 (2013): Un aggiornamento minore incluso in Windows 8.1 e Windows Server 2012 R2.  
• SMB 3.1.1 (2015): Introdotto con Windows 10 e Windows Server 2016, questa versione ha aggiunto misure di sicurezza avanzate. Queste includono la crittografia end-to-end, i controlli di integrità pre-autenticazione (per proteggere dagli attacchi man-in-the-middle e di downgrade del protocollo) e il supporto per la tolleranza agli errori di rete. Ha anche introdotto le suite crittografiche AES-256-GCM e AES-256-CCM per la crittografia SMB.  

L'evoluzione delle porte SMB è altrettanto significativa. La porta 139 (TCP) era storicamente utilizzata per i dialetti SMB più vecchi che si basavano su NetBIOS per il networking. La porta 445 (TCP) è stata adottata da Microsoft da Windows 2000 in poi per i dialetti SMB più recenti (SMB2, SMB3, ecc.) per funzionare direttamente su TCP senza NetBIOS, dimostrandosi più efficiente. La porta 445 è anche utilizzata dai servizi di directory Microsoft (Microsoft-DS). Nel complesso, SMB è passato da un meccanismo di condivisione file di base a un protocollo robusto di livello enterprise ottimizzato per prestazioni, sicurezza e affidabilità.

2.2 Compatibilità delle Versioni SMB tra Sistemi Operativi Windows

Quando viene stabilita una connessione SMB tra un client e un server, essi negoziano per utilizzare la versione più alta di SMB supportata da entrambi i sistemi. Questo meccanismo, sebbene garantisca la compatibilità, introduce una sfida significativa per la sicurezza: il debito di compatibilità retroattiva. Sebbene le versioni moderne di SMB (come SMB 3.x) offrano robuste funzionalità di sicurezza come la crittografia e la firma , la necessità di supportare versioni più vecchie, come SMB 1.0, può esporre l'intera rete a rischi noti e critici. SMB 1.0 è esplicitamente descritto come "intrinsecamente insicuro" ed è stato al centro di attacchi di alto profilo come il ransomware WannaCry. Microsoft lo ha deprecato e ne raccomanda la disabilitazione.  

Tuttavia, se un dispositivo legacy richiede o supporta solo SMBv1 sulla rete, la connessione si degraderà a questa versione meno sicura a meno che SMBv1 non sia esplicitamente disabilitato su tutti gli endpoint. Ciò significa che la sicurezza di una rete non dipende solo dall'adozione dei protocolli più recenti, ma anche dalla gestione attiva e dall'eliminazione della dipendenza da quelli obsoleti. Le organizzazioni devono controllare proattivamente i propri ambienti per individuare le dipendenze da SMBv1 e implementare politiche rigorose per disabilitarlo, piuttosto che presumere che le impostazioni predefinite dei sistemi operativi moderni siano sufficienti per l'intera rete. Questa tensione tra compatibilità operativa e sicurezza è una sfida continua che richiede attenzione strategica.

La seguente tabella riassume la compatibilità delle versioni SMB con i sistemi operativi Windows:

Tabella 1: Supporto delle Versioni SMB per Sistema Operativo Windows

Le workstation Windows moderne (Windows 10 e 11) dovrebbero essere compatibili con SMBv2 e SMBv3 e non dovrebbero fare affidamento su SMBv1 per la condivisione di file.

3. Diffusione di SMB e Panorama d'Uso nel 2025

La persistenza del protocollo SMB nel panorama IT del 2025 è notevole, testimoniata dalla sua adozione diffusa sia negli ambienti on-premise che, sempre più, nelle infrastrutture cloud. Questa pervasività, tuttavia, introduce nuove sfide e considerazioni di sicurezza, in quanto la superficie di attacco si evolve con la migrazione al cloud.

3.1 Adozione Diffusa nelle Reti Aziendali e delle Piccole e Medie Imprese (PMI)

SMB continua a essere ampiamente utilizzato nelle reti aziendali e su internet. È un protocollo fondamentale per la condivisione di file, stampanti e l'intercomunicazione dei sistemi nelle reti locali e su internet. La sua rilevanza è particolarmente accentuata nelle piccole e medie imprese (PMI), che rappresentano una parte significativa del panorama aziendale. Nel 2025, si stima che ci siano oltre 34,8 milioni di piccole imprese negli Stati Uniti, che rappresentano il 99,9% di tutte le aziende. Le PMI impiegano il 45,9% dei dipendenti del settore privato, pari a 59 milioni di persone.  

Le PMI stanno investendo in modo significativo nella tecnologia, con una crescente enfasi sulle operazioni online. Nel 2024, il 38% delle PMI ha aggiunto operazioni online/digitali, portando a investimenti tecnologici per supportare questa digitalizzazione. Ciò include aggiornamenti della larghezza di banda internet (66% degli intervistati). Sebbene le PMI utilizzino in media meno applicazioni rispetto alle grandi organizzazioni, mostrano una maggiore densità di app per dipendente. Le categorie di app in più rapida crescita per le PMI includono strumenti di sicurezza (aumento del 61% anno su anno per numero di utenti unici) e app di conformità e sicurezza.  

Questi dati sottolineano che, nonostante l'emergere di nuove tecnologie e paradigmi, SMB rimane un protocollo di rete essenziale per le PMI e le grandi aziende. La sua continua rilevanza implica che le vulnerabilità di SMB non sono problemi marginali, ma rischi centrali che possono avere un impatto su un'ampia base di utenti e su funzioni aziendali critiche.

3.2 SMB negli Ambienti Cloud: Azure Files e AWS FSx

La transizione verso il cloud computing è una tendenza dominante nel 2025, con oltre il 90% delle organizzazioni che utilizzano il cloud e il 60% che esegue più della metà dei propri carichi di lavoro nel cloud. Le PMI stanno guidando questa adozione, con oltre la metà dei loro budget tecnologici destinati ai servizi cloud nel 2025. Si prevede che il 63% dei carichi di lavoro delle PMI e il 62% dei dati delle PMI saranno ospitati nel cloud pubblico entro il prossimo anno. Entro il 2025, si prevede che oltre l'85% delle PMI adotterà strategie "cloud-first".  

In questo contesto, SMB gioca un ruolo cruciale nella facilitazione della condivisione di file in ambienti ibridi e cloud. Servizi come Azure Files di Microsoft e Amazon FSx per Windows File Server di AWS estendono le capacità SMB al cloud, consentendo alle organizzazioni di sfruttare la scalabilità e la resilienza del cloud mantenendo la familiarità con il protocollo SMB.

La migrazione al cloud, pur offrendo notevoli vantaggi in termini di scalabilità, costi e resilienza, introduce un cambiamento nella superficie di attacco delle organizzazioni. Le vulnerabilità tradizionali dei sistemi operativi rimangono pertinenti, ma vengono affiancate da nuove minacce specifiche del cloud, come configurazioni errate del cloud, archiviazione esposta pubblicamente e chiavi di accesso configurate debolmente. Questo significa che, mentre le organizzazioni si spostano verso il cloud, la loro superficie di attacco non si riduce semplicemente, ma si trasforma, richiedendo un nuovo set di competenze e strumenti di sicurezza.  

SMB mantiene la sua importanza anche in un panorama dominato dal cloud, soprattutto negli scenari ibridi e per carichi di lavoro specifici che richiedono la compatibilità con i file system Windows. Ad esempio, Azure Files gestisce centinaia di milioni di condivisioni file con miliardi di file, supportando carichi di lavoro di produzione su larga scala, inclusi dati di applicazioni critiche per l'azienda, condivisioni generiche e dipartimentali e set di dati ibridi con tiering cloud senza soluzione di continuità. Similmente, Amazon FSx per Windows File Server è utilizzato da aziende come 3M e Vital Energy per ospitare database SQL Server e dati di analisi sismica, beneficiando di alta disponibilità, scalabilità e prestazioni migliorate.  

Le architetture ibride e multi-cloud stanno diventando la norma, con l'89% delle aziende che utilizzano soluzioni multi-cloud e l'80% che adotta strategie ibride. Questa complessità aggiuntiva richiede che le organizzazioni implementino politiche di sicurezza SMB coerenti e robuste su piattaforme diverse, gestendo l'integrazione tra ambienti on-premise e cloud multipli. La sicurezza di SMB in questi ambienti distribuiti diventa più complessa, richiedendo una gestione attenta delle configurazioni di rete, dei controlli di accesso e delle pratiche di crittografia.

Tabella 2: Adozione dei Servizi SMB Cloud e Caratteristiche di Sicurezza Chiave

La sicurezza negli ambienti cloud deve dare priorità all'implementazione di crittografia end-to-end per i dati in transito e a riposo, audit di sicurezza regolari, valutazioni delle vulnerabilità, log di accesso dettagliati e robuste misure di autenticazione. Le organizzazioni intelligenti aggiungono una protezione extra per le condivisioni SMB connesse al cloud, come una forte crittografia dei dati e un'attenta gestione degli accessi utente.

4. Lo Stato delle Vulnerabilità SMB Note nel 2025

Nonostante i continui miglioramenti, il protocollo SMB rimane un obiettivo frequente per gli aggressori a causa delle sue debolezze intrinseche e della sua pervasività. Nel 2025, la consapevolezza delle vulnerabilità SMB è essenziale per gli amministratori di rete, poiché gli attacchi correlati a SMB sono aumentati significativamente nell'ultimo anno.  

4.1 La Minaccia Persistente di SMBv1 Legacy

SMBv1, la versione originale del protocollo, è considerata intrinsecamente insicura a causa del suo design obsoleto, delle connessioni non crittografate e dei metodi di autenticazione deboli. La sua deprecazione da parte di Microsoft e la raccomandazione di disabilitarlo sono dirette conseguenze del suo ruolo in attacchi di alto profilo.  

L'esempio più eclatante è l'attacco ransomware WannaCry del maggio 2017, che ha sfruttato EternalBlue, un exploit sviluppato dalla National Security Agency (NSA) degli Stati Uniti e trapelato dal gruppo The Shadow Brokers. WannaCry ha preso di mira i computer con sistema operativo Microsoft Windows, crittografando i dati e chiedendo pagamenti in Bitcoin. Si è propagato scansionando i sistemi vulnerabili e utilizzando l'exploit EternalBlue per ottenere l'accesso e lo strumento DoublePulsar per installare ed eseguire una copia di se stesso. Le organizzazioni che non avevano installato l'aggiornamento di sicurezza di Microsoft di marzo 2017 sono state colpite, in particolare quelle che eseguivano versioni non supportate di Windows come Windows XP e Windows Server 2003.  

Un altro attacco significativo è stato NotPetya (giugno 2017), una variante di malware Petya che crittografava i file e il master boot record (MBR), rendendo i computer Windows infetti inutilizzabili. NotPetya ha sfruttato più metodi di propagazione, inclusi PsExec, WMI ed EternalBlue (lo stesso exploit SMBv1 utilizzato da WannaCry) ed EternalRomance, un altro exploit SMBv1. Questi incidenti hanno dimostrato la capacità di SMBv1 di fungere da vettore per attacchi "wormable", consentendo al malware di diffondersi rapidamente attraverso le reti.

4.2 Vettori di Attacco SMB Comuni e Loro Impatto

Le implementazioni SMB contengono numerose debolezze di sicurezza che espongono le organizzazioni a potenziali minacce. La ricerca di Microsoft indica che le vulnerabilità di autenticazione causano un gran numero di incidenti di sicurezza correlati a SMB.  

• Debolezze di Autenticazione: Pratiche di password scadenti e controlli delle credenziali insufficienti creano significative lacune di sicurezza. Molti server SMB accettano ancora metodi di autenticazione di base, rendendoli obiettivi per attacchi di forza bruta e furto di credenziali quando non vengono applicati protocolli di sicurezza più forti.  
• Difetti di Implementazione del Protocollo:
  • Buffer Overflow: Questa è una vulnerabilità critica che può portare a corruzione della memoria ed esecuzione di codice arbitrario. Gli aggressori possono sfruttare le debolezze di buffer overflow per eseguire codice dannoso. Ad esempio, Samba (un server SMB open source) è stato vulnerabile a un buffer overflow remoto basato su stack nella funzione reply_netbios_packet().
  • Downgrade del Protocollo: Questo tipo di attacco, ad alto impatto, costringe una connessione a passare da un protocollo di sicurezza elevata a una versione più vecchia e meno sicura. Gli aggressori possono intercettare la fase di negoziazione del protocollo e modificarla per forzare client e server a concordare l'uso di una versione SMB più vecchia e vulnerabile. Questo può consentire agli aggressori di sfruttare vulnerabilità note nel protocollo degradato per decrittografare, modificare o iniettare dati dannosi.  
  • Session Hijacking (Dirottamento di Sessione): Con un impatto medio, questo attacco implica l'intercettazione e la presa di controllo di sessioni autenticate. Gli aggressori con accesso alla stessa rete del client o del server possono interrompere, terminare o rubare una sessione in corso. Possono intercettare e modificare pacchetti SMB non firmati per far sì che il server esegua azioni discutibili, o impersonare il server o il client dopo l'autenticazione legittima per ottenere accesso non autorizzato ai dati.
• Tecniche di Attacco Specifiche:
  • SMB Relay Attacks: Gli aggressori sfruttano la fiducia intrinseca del protocollo SMB, intercettando e inoltrando i tentativi di autenticazione per ottenere accesso non autorizzato alle risorse di rete. Questo attacco spesso sfrutta il meccanismo di autenticazione NTLM e può essere ottenuto posizionandosi come "man-in-the-middle" (es. tramite ARP spoofing o DNS poisoning) per reindirizzare il traffico SMB attraverso la macchina dell'aggressore.  
  • Pass-the-Hash Attacks: Questa tecnica comune sfrutta le debolezze di SMB per rubare credenziali di autenticazione e potenzialmente il controllo del dominio. Invece di decifrare la password, gli aggressori utilizzano un hash della password rubato per autenticarsi come utente senza conoscere la password effettiva, consentendo il movimento laterale attraverso la rete. Strumenti come Mimikatz sono comunemente usati per estrarre gli hash e condurre questi attacchi.

4.3 Il Nexus Critico: Vulnerabilità SMB e Integrazione con Active Directory

Le vulnerabilità SMB diventano particolarmente pericolose quando si collegano ai servizi Active Directory (AD), creando potenziali punti di ingresso in tutta l'infrastruttura di rete. Le operazioni di Active Directory dipendono da SMB per funzioni critiche come l'autenticazione degli utenti e la condivisione delle risorse. La ricerca indica che la maggior parte degli attacchi ad Active Directory deriva da connessioni SMB compromesse. La comunicazione tra i sistemi client e i controller di dominio AD avviene attraverso i canali SMB durante l'accesso alle risorse di rete, rendendo questa connessione un punto focale vitale per la sicurezza.

Gli attacchi spesso prendono di mira le vulnerabilità SMB per infiltrarsi negli ambienti Active Directory. Gli attori malevoli utilizzano frequentemente attacchi relay SMB, intercettando le richieste di autenticazione SMB per l'escalation dei privilegi. Gli attacchi pass-the-hash, come menzionato, sfruttano le debolezze SMB, portando al furto di credenziali di autenticazione e al potenziale furto del controllo del dominio.

4.4 Notevoli Vulnerabilità ed Exploit Correlati a SMB (2024-2025)

Il 2024 e il 2025 hanno visto e continueranno a vedere un flusso costante di vulnerabilità che, sebbene non tutte direttamente nel protocollo SMB, possono avere un impatto significativo sugli ambienti Windows che utilizzano SMB. Le vulnerabilità di esecuzione di codice remoto (RCE) e di escalation dei privilegi (EoP) sono le più comuni.  

CVEs di Rilievo (2024-2025):

• CVE-2025-29956: Una vulnerabilità SMB specifica che consente a un aggressore autorizzato di divulgare informazioni su una rete tramite un buffer over-read in Windows SMB. Ha un punteggio CVSS di 5.4.  
• CVE-2022-32230: Una vulnerabilità di Denial of Service (DoS) nel protocollo SMB di Windows (SMBv3) che può causare un crash del kernel di Windows (Blue Screen of Death - BSOD) inviando una richiesta SMBv3 FileNormalizedNameInformation malformata su una named pipe. Ha un punteggio CVSS di 7.5.  
• CVE-2020-0796: Una vulnerabilità di esecuzione di codice remoto (RCE) in SMBv3.1.1, nota anche come "Wormable" o "SMBGhost". Sebbene sia stata scoperta nel 2020, la sua natura "wormable" e l'impatto critico la rendono un punto di riferimento per le vulnerabilità SMB più recenti.  
• CVE-2025-24054: Una vulnerabilità di divulgazione hash NTLM di Windows che è stata sfruttata in campagne di attacco nel marzo 2025. Consente agli aggressori di acquisire la risposta NTLMv2 e tentare attacchi di forza bruta offline o attacchi relay. Sebbene non sia direttamente una vulnerabilità SMB, sfrutta l'autenticazione NTLM spesso utilizzata con SMB.  
• Vulnerabilità Zero-Day: Nel maggio 2025, Microsoft ha corretto 72 vulnerabilità, di cui cinque zero-day attivamente sfruttate. Sebbene non tutte siano direttamente correlate a SMB, alcune come le vulnerabilità nel driver Windows Common Log File System (CVE-2025-32701, CVE-2025-32706) e nel driver Windows Ancillary Function Driver for WinSock (CVE-2025-32709) sono state sfruttate per l'escalation dei privilegi. Queste vulnerabilità di escalation dei privilegi possono essere utilizzate dagli aggressori per ottenere un maggiore controllo sui sistemi compromessi, il che può quindi facilitare l'accesso e lo sfruttamento delle condivisioni SMB.  
• CVE-2025-37899: Una vulnerabilità zero-day nel kernel Linux (componente ksmbd, che gestisce il protocollo SMB3) scoperta utilizzando un modello di linguaggio di grandi dimensioni (OpenAI o3). È una vulnerabilità "use-after-free" nella gestione del comando SMB2 LOGOFF. Sebbene non sia specifica per Windows, evidenzia il potenziale dell'AI nella scoperta di vulnerabilità complesse nei protocolli di rete come SMB e la natura "a doppio taglio" dell'AI nella sicurezza informatica (sia per la difesa che per l'offesa).  

Tabella 3: CVEs Chiave Correlate a SMB (2024-2025) con Punteggi CVSS e Impatto

Le vulnerabilità del CLFS (Common Log File System) di Windows (es. CVE-2025-32701, CVE-2025-32706) e del DWM Core Library (CVE-2025-30400), sebbene non direttamente SMB, sono state attivamente sfruttate come zero-day nel 2025, evidenziando una tendenza generale di attacchi EoP e RCE negli ambienti Windows. Questi tipi di vulnerabilità possono essere concatenati con exploit SMB per ottenere un controllo più profondo sui sistemi.  

5. Ransomware e SMB: La Minaccia in Escalation nel 2025

Il ransomware continua a essere una delle minacce informatiche più redditizie e distruttive, e nel 2025, il suo impatto sulle piccole e medie imprese (PMI) è particolarmente allarmante.

5.1 L'Impatto Sproporzionato sulle Piccole e Medie Imprese

Il ransomware rimane un incubo finanziario per le aziende di tutte le dimensioni. Gli incidenti ransomware sono aumentati di circa il 25% nel 2024, con l'esfiltrazione dei dati (furto di dati sensibili prima della crittografia) quasi raddoppiata in frequenza. Ciò che è ancora più preoccupante è che l'82% degli attacchi ransomware ha colpito aziende con meno di 1.000 dipendenti, rendendo le PMI obiettivi primari. Il 76% delle PMI ha subito un attacco ransomware nell'ultimo anno, superando il tasso di attacchi segnalato dalle grandi imprese.  

Le PMI sono spesso percepite come "frutti facili" a causa delle loro dimensioni ridotte e delle misure di sicurezza spesso più deboli. Molti proprietari di piccole imprese mantengono la pericolosa convinzione che "non succederà a noi", una compiacenza che è pericolosa: 1 PMI su 3 ha subito un attacco informatico nell'ultimo anno, e il 32% afferma che anche un solo giorno di inattività (o circa 10.000 dollari di perdite) potrebbe costringerle a chiudere. Il 75% delle piccole imprese andrebbe in bancarotta se subisse un attacco ransomware. La perdita media per le PMI a causa di incidenti di sicurezza nel 2024 è salita a 1,6 milioni di dollari, rispetto a 1,4 milioni di dollari nel 2023, evidenziando che gli attacchi stanno diventando più sofisticati e costosi.  

L'ecosistema del ransomware sta diventando più sofisticato, con circa 80 gruppi ransomware attivi a livello globale e 16 nuovi emersi da gennaio 2025. Questo include la crescita del Ransomware-as-a-Service (RaaS), che ha reso più facile per gli aggressori meno tecnici accedere e utilizzare strumenti sofisticati. I kit ransomware ora includono payload malware predefiniti, istruzioni passo-passo chiare e strumenti per il movimento laterale, l'escalation dei privilegi e la crittografia.  

5.2 Accesso Iniziale e Sfruttamento tramite Vulnerabilità SMB

Le vulnerabilità SMB fungono da punti di ingresso primari per il ransomware. Il rapporto Verizon Data Breach Investigations Report (DBIR) 2025 evidenzia che lo sfruttamento delle vulnerabilità è cresciuto come vettore di accesso iniziale per le violazioni, raggiungendo il 20%. In particolare, all'interno del modello "System Intrusion", ampiamente guidato dal ransomware (presente nel 75% delle violazioni in questo modello), lo sfruttamento delle vulnerabilità è il vettore più comune, superando l'abuso di credenziali. Questo è particolarmente rilevante per il ransomware, poiché gli operatori di ransomware hanno sfruttato le vulnerabilità nel software dei file server (nel 2023) e nei dispositivi perimetrali (nel 2024).  

Sebbene il DBIR 2025 non specifichi esplicitamente "vulnerabilità SMB" come vettore di accesso iniziale, l'alta prevalenza di ransomware nelle PMI (l'88% delle violazioni legate al ransomware nelle PMI rispetto al 39% nelle grandi organizzazioni) e il legame storico tra SMBv1 e attacchi ransomware di massa come WannaCry e NotPetya implicano fortemente che le vulnerabilità SMB sono un punto di ingresso significativo. Gli aggressori sfruttano le configurazioni errate, le versioni obsolete e le debolezze di autenticazione di SMB per ottenere un punto d'appoggio iniziale nella rete.  

L'emergere dell'intelligenza artificiale (AI) ha intensificato questi attacchi, consentendo ai criminali informatici di raggiungere più potenziali vittime su larga scala, creare impersonificazioni più convincenti, elaborare messaggi ben scritti senza errori grammaticali e costruire profili dettagliati sui bersagli utilizzando dati aggregati. Le truffe di phishing basate sull'AI sono in forte espansione e saranno una delle principali minacce per le PMI nel 2025 e oltre, con un aumento del 703% degli attacchi di phishing basati su credenziali identificati nel 2024.  

5.3 Tattiche e Gruppi Ransomware Emergenti

L'ecosistema del ransomware continua a evolversi rapidamente. Nel marzo 2025, il gruppo ransomware RansomHub è emerso come una minaccia significativa, guidando con un conteggio di 84 vittime. Il settore manifatturiero è stato il principale obiettivo degli attacchi ransomware, con 91 incidenti a livello globale nel marzo 2025. Nuovi gruppi come Arkana, CrazyHunter, NightSpire, RALord e VanHelsing sono emersi nel panorama del ransomware.  

Le tattiche si stanno evolvendo:

• Attacchi a Tripla Estorsione: Questi attacchi sono in crescita, dove gli aggressori crittografano i dati aziendali, li esfiltrano e poi minacciano terze parti (fornitori, clienti e partner) connesse alla vittima. La tripla estorsione è balzata al 14% dei casi di ransomware nella prima metà del 2023 e continua a salire.  
• Sfruttamento di Dispositivi IoT e Edge: Alcuni gruppi ransomware, come Akira, potrebbero sfruttare sempre più i dispositivi IoT e edge per eludere il rilevamento. Attacchi futuri potrebbero prendere di mira altri sistemi basati su Linux, come telecamere di sicurezza, dispositivi NAS o sistemi di controllo industriale, per ottenere persistenza ed eseguire la crittografia.  
• Dipendenza da Malware Personalizzato: Le future operazioni ransomware probabilmente aumenteranno la dipendenza da malware personalizzato, come Betruger, per migliorare la furtività, la persistenza e l'automazione. I gruppi ransomware potrebbero ridurre la dipendenza da strumenti pubblici, sviluppando backdoor all-in-one per le attività di pre-crittografia.  
• Convergenza Attacchi Ransomware e Supply Chain: Il 91% delle organizzazioni è preoccupato per gli attacchi ransomware che prendono di mira la loro catena di approvvigionamento software, i partner di terze parti e quelli connessi. Le PMI sono particolarmente vulnerabili a queste minacce alla catena di approvvigionamento, poiché spesso dipendono da una piccola rete di fornitori di servizi gestiti e piattaforme di terze parti.  

Questi sviluppi sottolineano la necessità per le organizzazioni di adottare strategie di difesa a più livelli e di rimanere aggiornate sulle ultime tattiche degli aggressori.

6. Strategie di Mitigazione Avanzate e Best Practice per il 2025

Per affrontare il panorama in evoluzione delle vulnerabilità SMB e delle minacce ransomware nel 2025, le organizzazioni devono adottare un approccio di sicurezza completo e proattivo. Questo va oltre la semplice applicazione di patch e include misure di hardening, l'adozione di nuove funzionalità di sicurezza e l'integrazione di strategie di difesa avanzate.

6.1 Misure di Sicurezza Fondamentali per la Protezione SMB

Le seguenti pratiche sono essenziali per rafforzare la postura di sicurezza SMB:

• Disabilitazione Obbligatoria di SMBv1: SMBv1 è una versione obsoleta del protocollo nota per le sue falle di sicurezza e deve essere disabilitata su tutti i dispositivi. Microsoft ha deprecato SMBv1 e ne raccomanda la disabilitazione a causa della sua vulnerabilità ad attacchi come WannaCry. La disabilitazione può essere eseguita tramite PowerShell (Disable-WindowsOptionalFeature -Online -FeatureName "SMB1Protocol") e richiede un riavvio del server.  
• Abilitazione di Crittografia e Firma SMB: La crittografia SMB, disponibile a partire da SMB 3.0, protegge i dati sensibili in transito, garantendo la privacy e l'integrità end-to-end tra il file server e il client, indipendentemente dalle reti attraversate. La firma SMB aiuta a prevenire gli attacchi man-in-the-middle che modificano i pacchetti SMB in transito, impedendo l'impersonificazione di computer client e server. Sebbene la firma possa influire sulle prestazioni, dovrebbe essere abilitata per gli ambienti sensibili.  
• Implementazione di Meccanismi di Autenticazione Robusti:
  • Autenticazione a più fattori (MFA): L'MFA aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire più forme di autenticazione per accedere alle risorse. Le PMI che non utilizzano l'MFA (14% nel 2025) sono più vulnerabili. L'adozione di FIDO2, che utilizza fattori biometrici o chiavi hardware, è considerata lo "standard d'oro" per l'MFA.  
  • Kerberos: Un protocollo moderno con misure di sicurezza più forti rispetto a NTLMv2, raccomandato per ambienti sicuri. L'abilitazione di Kerberos e la disabilitazione di NTLMv2 sono cruciali.  
  • Principio del Minimo Privilegio (PoLP): Assegnare le autorizzazioni in base ai ruoli e rivedere e aggiornare regolarmente le autorizzazioni, evitando l'uso di "Everyone" o "Authenticated Users".  
• Segmentazione della Rete e Configurazioni Firewall Rigorose: Utilizzare Windows Firewall o un firewall di rete dedicato per limitare l'accesso alle porte SMB (TCP 445 e 139). La configurazione del firewall per limitare il traffico SMB a indirizzi IP attendibili o reti interne può mitigare l'esposizione a potenziali aggressori. Isolare le risorse essenziali di Active Directory sulla rete.
• Adesione a una Rigorosa Gestione delle Patch e Aggiornamenti Regolari del Sistema: Mantenere aggiornato l'ambiente Windows Server è fondamentale per la sicurezza. Abilitare gli aggiornamenti automatici o programmare regolarmente finestre di manutenzione per applicare le patch di sicurezza. Il 57% delle violazioni dei dati avrebbe potuto essere prevenuto installando una patch disponibile.

6.2 Windows Server 2025: Nuove Funzionalità di Hardening

Windows Server 2025 introduce diverse nuove funzionalità di sicurezza SMB e opzioni di hardening per migliorare la protezione del traffico SMB. Queste innovazioni sono progettate per affrontare le minacce moderne e fornire agli amministratori un controllo più granulare:

• SMB NTLM Disable: Questa funzionalità è progettata per bloccare l'autenticazione NTLM per le connessioni SMB, migliorando così la sicurezza. Può essere configurata tramite Group Policy e PowerShell.
• SMB Firewall Rule Hardening: Questa funzionalità di sicurezza mira a migliorare la protezione del traffico SMB attraverso diversi aspetti chiave: impostazioni di sicurezza predefinite più robuste, mitigazione dell'accesso non autorizzato limitando l'esposizione delle porte SMB e integrazione con altre funzionalità di sicurezza come la firma SMB e la deprecazione di NTLM per fornire una postura di sicurezza completa.
• SMB Authentication Rate Limiter: Questa funzionalità è progettata per contrastare gli attacchi di forza bruta all'autenticazione. Il servizio server SMB implementa un ritardo tra ogni tentativo di autenticazione fallito basato su NTLM o PKU2U.
• SMB Dialect Control: Questa funzionalità consente agli amministratori di gestire i dialetti SMB2 e SMB3 in Windows Server. Gli amministratori possono specificare i protocolli SMB utilizzati, bloccando le versioni più vecchie e meno sicure dalla connessione al server. Questo può essere configurato tramite Group Policy o PowerShell.
• SMB Alternative Ports: Il client SMB può ora connettersi a porte TCP, QUIC e RDMA alternative, diverse dalle loro impostazioni predefinite IANA/IETF di 445, 5445 e 443. Questo può essere configurato tramite Group Policy o PowerShell.
• Post-Quantum Resilient Kerberos: Questa funzionalità di sicurezza avanzata protegge l'autenticazione Kerberos da potenziali minacce poste dal quantum computing. Incorpora algoritmi crittografici resistenti agli attacchi quantistici, garantendo che l'autenticazione Kerberos rimanga sicura anche con l'avanzamento del quantum computing.
• Remote Mailslots Deprecated: Remote Mailslots sono ora deprecati e disabilitati per impostazione predefinita per SMB e per l'uso del protocollo DC locator con Active Directory.

Queste funzionalità di Windows Server 2025 offrono strumenti cruciali per gli amministratori per migliorare la sicurezza SMB, ma richiedono un'attenta pianificazione e implementazione.

6.3 Messa in Sicurezza di SMB negli Ambienti Cloud

Con la crescente adozione del cloud, la protezione di SMB in ambienti come Azure Files e AWS FSx è diventata una priorità.

• Azure Files:
  • Crittografia in Transito: Per impostazione predefinita, tutte le condivisioni file di Azure hanno la crittografia in transito abilitata, consentendo solo i montaggi SMB che utilizzano SMB 3.x con crittografia. Azure Files supporta AES-256-GCM con SMB 3.1.1 e AES-128-GCM con SMB 3.0.
  • Endpoint Privati: L'uso di endpoint privati è fortemente preferito rispetto all'esposizione pubblica per le condivisioni file di Azure. Gli endpoint privati consentono l'accesso alle condivisioni file di Azure dalla rete on-premise senza esposizione a internet pubblico.
  • Autenticazione Azure AD e Permessi NTFS: Utilizzare l'autenticazione di Azure Active Directory e i permessi NTFS per un controllo granulare.
  • Firewall per Account di Archiviazione e NSG: Utilizzare il firewall per account di archiviazione per limitare l'accesso per IP o VNet e i gruppi di sicurezza di rete (NSG) per limitare il traffico (porta 445 per SMB).
  • Monitoraggio: Abilitare il logging e il monitoraggio con Azure Monitor e Azure Security Center per identificare attività sospette.
• AWS FSx per Windows File Server:
  • Crittografia a Riposo e in Transito: Tutti i file system Amazon FSx sono crittografati a riposo con chiavi gestite tramite AWS Key Management Service (AWS KMS). I dati vengono crittografati automaticamente prima di essere scritti e decrittografati durante la lettura. La crittografia in transito è supportata per i dati tra client e server.
  • Integrazione con Active Directory: FSx per Windows File Server si integra con Active Directory per l'autenticazione e il controllo degli accessi. È fondamentale garantire che i controller di dominio siano raggiungibili e che le credenziali dell'account di servizio siano valide.
  • Controlli di Accesso: Implementare ACL Windows e utilizzare Amazon VPC per il controllo degli accessi al file system.
  • Monitoraggio: Creare un piano di monitoraggio utilizzando le metriche del file system in Amazon CloudWatch per monitorare l'utilizzo dello storage e delle prestazioni.

6.4 Difesa Proattiva e Tendenze Strategiche della Cybersecurity

Oltre alle configurazioni tecniche, un approccio proattivo e strategico alla cybersecurity è fondamentale per la resilienza nel 2025.

• Adozione dell'Architettura Zero Trust e del Principio del Minimo Privilegio: Il principio guida di Zero Trust è "non fidarsi mai, verificare sempre". Ogni utente, dispositivo e applicazione, indipendentemente dalla posizione fisica, deve essere autenticato e autorizzato prima che l'accesso sia concesso. Questo è un elemento chiave del Principio del Minimo Privilegio, che riduce la superficie di attacco e limita l'impatto di potenziali violazioni. Le PMI devono implementare controlli di accesso rigorosi e monitorare le attività interne.  
• Sfruttamento dell'AI nella Difesa Cybersecurity per il Rilevamento e la Risposta Unificati: L'AI è destinata a essere il principale motore di cambiamento per la cybersecurity delle PMI nel 2025, in particolare attraverso la sua capacità di potenziare le piattaforme di rilevamento e risposta unificate. Queste piattaforme integrate con l'AI semplificano e centralizzano le operazioni di cybersecurity, rendendo la gestione della sicurezza significativamente più facile per le PMI e i fornitori di servizi gestiti (MSP) che le servono. L'AI può analizzare grandi quantità di dati rapidamente e accuratamente per identificare anomalie, prevedere potenziali minacce e automatizzare le risposte.  
  • Tuttavia, solo l'11% delle PMI ha adottato strumenti di sicurezza basati sull'AI , lasciando la stragrande maggioranza impreparata agli attacchi migliorati dall'AI. Questo divario tra consapevolezza e azione è una preoccupazione significativa.  
• Importanza della Formazione Continua sulla Consapevolezza della Sicurezza dei Dipendenti e delle Simulazioni di Phishing: I dipendenti sono la prima linea di difesa contro alcuni dei rischi informatici più comuni, come l'ingegneria sociale. La formazione sulla consapevolezza della sicurezza può ridurre il rischio informatico del 60% entro un anno. Le simulazioni di phishing regolari testano la vigilanza dei dipendenti e li preparano a riconoscere e segnalare tentativi di attacco.  
• Il Ruolo Strategico dell'Assicurazione Cyber e dei Fornitori di Servizi di Sicurezza Gestiti (MSSP): L'adozione dell'assicurazione cyber è una tendenza chiave nel 2025. Le polizze moderne offrono servizi proattivi di gestione del rischio, supportando le PMI con la pianificazione della risposta agli incidenti, le valutazioni delle vulnerabilità e la formazione dei dipendenti. Tuttavia, le PMI non dovrebbero fare affidamento solo sull'assicurazione, ma vederla come parte di un approccio equilibrato.  
  • I fornitori di servizi gestiti (MSP/MSSP) possono offrire alle PMI l'accesso a strumenti avanzati come piattaforme di rilevamento e risposta unificate, feed di intelligence sulle minacce e monitoraggio 24 ore su 24, 7 giorni su 7, oltre a portare competenze nella conformità normativa. Quasi il 70% delle PMI dipende da MSP o consulenti esterni per la gestione delle proprie strategie di cybersecurity.  

7. Conclusione e Prospettive Future

Il protocollo SMB, nonostante la sua evoluzione e i significativi miglioramenti di sicurezza nelle versioni più recenti, rimane un punto focale per le vulnerabilità negli ambienti Windows nel 2025. La sua ubiquità, sia nelle reti on-premise che in quelle cloud, lo rende un obiettivo persistente e di alto valore per gli aggressori. La continua presenza di SMBv1, sebbene deprecato, rappresenta un debito di sicurezza significativo che le organizzazioni devono affrontare proattivamente.

Il panorama delle minacce è in rapida evoluzione, con il ransomware che colpisce in modo sproporzionato le PMI e l'intelligenza artificiale che amplifica la sofisticazione degli attacchi. Le vulnerabilità SMB sono spesso sfruttate come vettori di accesso iniziali, consentendo agli aggressori di ottenere un punto d'appoggio e di compromettere sistemi critici, inclusi gli ambienti Active Directory.

Per mitigare questi rischi, le organizzazioni devono adottare un approccio di sicurezza a più livelli. Ciò include l'implementazione rigorosa delle migliori pratiche fondamentali, come la disabilitazione di SMBv1, l'abilitazione della crittografia e della firma SMB e l'applicazione di autenticazione robusta (MFA, Kerberos). L'adozione di Windows Server 2025 offre funzionalità di hardening avanzate che, se configurate correttamente, possono migliorare significativamente la postura di sicurezza. La sicurezza SMB negli ambienti cloud richiede un'attenzione specifica alla configurazione di servizi come Azure Files e AWS FSx, garantendo endpoint privati, crittografia end-to-end e controlli di accesso granulari.

Guardando al futuro, la resilienza informatica dipenderà sempre più dall'adozione di architetture Zero Trust, dall'integrazione dell'AI nelle difese per un rilevamento e una risposta unificati, e da un investimento continuo nella consapevolezza della sicurezza dei dipendenti. Le PMI, in particolare, devono superare le limitazioni di risorse e competenze, sfruttando partnership strategiche con MSP e considerando l'assicurazione cyber come parte di una strategia di gestione del rischio olistica. La vigilanza continua, l'adattamento e una cultura della sicurezza proattiva saranno fondamentali per salvaguardare gli asset digitali nel 2025 e oltre.