www.MegaLab.it

La pubblicazione di un exploit per una nuova debolezza rintracciata in Windows Vista, Windows Server 2008 e Windows 7 RC (ma non RTM) sta suscitando una certa agitazione fra gli esperti di sicurezza.

Il baco, causato dal modo in cui il sistema operativo tratta l'intestazione di un pacchetto SMB2 contenente il carattere "&" in uno dei campi, potrebbe causare effetti variabili fra il crash del calcolatore assaltato e l'esecuzione di codice da remoto.

In realtà, ad oggi gli esperti sono riusciti solamente a raggiungere la conseguenza più lieve: il relativo advisory diramato da Microsoft ("Vulnerabilities in SMB Could Allow Remote Code Execution") sostiene però che anche l'esecuzione di codice da remoto sia uno scenario plausibile.

Come noto, il protocollo SMB è adibito alla condivisione delle risorse all'interno di una rete locale. Come tale, il servizio non è esposto sulla rete Internet e, comunque, il firewall in dotazione al sistema operativo è configurato per impedire connessioni provenienti dall'esterno verso questo servizio per impostazione predefinita.

Il pericolo, perlomeno per il grande pubblico, dovrebbe essere attenuto anche dalla configurazione di default dei router domestici che, solitamente, sono equipaggiati con un firewall attivo di default.

Il pericolo più grave lo corrono quindi le aziende e, in generale, tutti gli elaboratori che fossero parte di LAN particolarmente estese ed avessero abilitata la condivisione di file e stampanti.

In attesa di un nuovo Conficker?

Ad una prima analisi, la debolezza pare essere sufficientemente seria da far temere l'arrivo di un nuovo worm in grado di propagarsi a macchia d'olio.

Se la possibilità che possa apparire una sorta di "Conficker-bis" sono attenuate dal fatto che la nuova falla interessa solamente Windows Vista e Windows Server 2008 (e non l'accoppiata Windows XP e Windows Server 2003 che ancora la fa da padrone in quanto a quote di mercato), non è da escludere che si possa assistere alla nascita di un malware analogo.

In attesa di una patch

Microsoft si è detta attualmente al lavoro per studiare il problema e valutare la necessità di rilasciare una patch. Circostanza pressoché certa, considerata la gravità del problema.

Ma poiché il ciclo di aggiornamento mensile per settembre è arrivato proprio martedì scorso, sarebbe necessario attendere ancora parecchi giorni prima che l'update venga rilasciato al pubblico: in particolare, se si seguisse la politica di aggiornamento standard, il prossimo bollettino è atteso per il 13 ottobre.

Sebbene il gruppo non si sia ancora pronunciato al riguardo, è sicuramente molto probabile che si scelga di distribuire un "update straordinario", in anticipo rispetto all'appuntamento mensile: non è da escludere che, con un po' di fortuna, sia possibile scaricare il fix già entro la fine della prossima settimana.

Come proteggersi

Frattanto, Microsoft fornisce alcuni suggerimenti per tutelare la sicurezza dei propri calcolatori.

L'utenza consumer, come detto, corre rischi contenuti: è infatti sufficiente accertarsi che il proprio personal firewall sia attivo per raggiungere un livello di sicurezza accettabile (sebbene non completo).

Nel bollettino, si suggerisce anche di disabilitare il servizio di condivisione file e stampanti, oppure bloccarlo a livello di firewall: a conti fatti però, si tratta di un rimedio attuabile in pochissime circostanze, considerata l'importanza di questa funzione.

Il suggerimento probabilmente migliore è quello che prevede la predisposizione di un filtro mirato su Windows Firewall.

Per implementarlo, è sufficiente aprire una console di comando amministrativa e lanciare il comando netsh, seguito poi dalle seguenti istruzioni

netsh>rpc netsh rpc>filter netsh rpc filter>add rule layer=um actiontype=block netsh rpc filter>add condition field=if_uuid matchtype=equal data=4b324fc8-1670-01d3-1278-5a47bf6ee188 netsh rpc filter>add filter netsh rpc filter>quit

Una volta che la patch sarà disponibile, il blocco potrà essere rimosso sempre mediante netsh, con i segueti comandi:

netsh rpc filter show filter netsh rpc filter delete filter xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Dove xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx dovrà essere sostituito dal valore filterKey: restituito dal primo comando.

Prima di applicare il blocco su larga scala, raccomando comunque a tutti gli amministratori di sistema di accertarsi che tutte le funzioni necessarie allo svoglimetno delle attività di produzione rimangano disponibili: Microsoft sostiene infatti che "alcune applicazioni che si appoggiano al protocollo SMB potrebbero non funzionare più correttamente".

La seconda minaccia senza soluzione

È importante ricordare che la nuova debolezza è, ad oggi, la seconda non ancora corretta: solo pochi giorni fa infatti, è emerso un problema anche in IIS che, sebbene interessi una quota di utenti minore, non dovrebbe essere sottovalutato.