www.MegaLab.it

Il primo bollettino di sicurezza Microsoft del nuovo anno non è particolarmente ricco. Il gruppo ha infatti presentato un solo aggiornamento, che corregge però diversi problemi comuni a tutte le versioni di Windows.

Particolarmente interssante invece l'aggiornamento di Malicious Software Removal Tool.

Vulnerabilities in SMB... (MS09-001)

La patch MS09-001 corregge tre vulnerabilità distinte localizzate in Microsoft Server Message Block (SMB), il protocollo utilizzato nel mondo Windows per la condivisione dei file in rete.

Le debolezze affliggono tutte le versioni di Windows in circolazione: si va dal vetusto Windows 2000 fino a Windows Vista, passando per Windows XP, senza risparmiare nemmeno i sistemi operativi Windows Server, in edizione 2003 e 2008.

Sfruttando in maniera opportuna i problemi risolti da questo update, un cracker potrebbe ottenere effetti differenti a seconda del sistema operativo in dotazione al calcolatore aggredito: si spazia dalla possibilità di bloccare il sistema fino all'esecuzione di codice da remoto, limitatamente però ai soli Windows 2000, Windows XP, Windows Server 2003.

Proprio a causa di queste differenze, la patch è classificata Critical per tutte le vecchie versioni di Windows, mentre solamente Moderate per Windows Vista e Windows Server 2008.

Un post apparso su Microsoft Security Response Center (MSRC) ha precisato che anche Windows 7 è afflitto dal problema, con lo stesso livello di pericolosità descritto per Windows Vista. Trattandosi di un problema minore, Microsoft non rilascierà quindi l'aggiornamento per questo prodotto, disponibile, ad oggi, solamente in versione preliminare.

In un interessante approfondimento, il blog Microsoft Security Vulnerability Research & Defense spiega che in verità la possibilità di sfruttare la debolezza per seguire codice è prettamente teorica: innanzitutto, l'attaccante avrebbe la possibilità di sovrascrivere la memoria solamente con un valore prefissato (uno "zero"), e non con dati a propria discrezione. Inoltre, per poter sperare di aver successo, il cracker dovrebbe conoscere l'esatta disposizione degli elementi in memoria, informazione tutt'altro che semplice da ricavare.

Da notare infine che il componente sotto accusa è la funzionalità di condivisione dei file in rete, un servizio che è, quasi sempre, accessibile solamente dalla rete locale, e non da Internet.

L'installazione della patch è comunque raccomandabile: la possibilità di portare un attacco dall'interno in grado di bloccare un server o una workstation è infatti concreta e indipendente dal sistema operativo in uso: se un cracker realizzasse un worm e riuscisse a compromettere un calcolatore presente all'interno di una rete locale, potrebbe facilmente paralizzare, partendo dalla postazione compromessa, l'intero parco macchine ad essa collegate.

>> Bollettino Microsoft e download

Malicious Software Removal Tool

Come ogni mese, anche in questa occasione Microsoft ha rilasciato una versione aggiornata dello strumento automatico per la pulizia dei PC infetti.

Il download è oggi particolarmente interessante: a partire da questa versione infatti, lo strumento è in grado di rimuovere anche le famiglie virali "Banload" e, soprattutto, quello stesso Conficker che ha indotto Panda Security ad alzare il livello di guardia.

>> MSRT: info e download.