www.MegaLab.it

Non è certo cosa di tutti i giorni che Microsoft rilasci un aggiornamento di sicurezza fuori dal consueto ciclo di bollettini mensili. Per portare ad una decisione del genere, il problema deve essere senz'altro significativo.

E così pare, leggendo il comunicato Vulnerability in Server Service Could Allow Remote Code Execution (MS08-067) reso disponiile dal gruppo durante la tarda giornata di ieri.

La falla

Il problema, classificato come Critical per Windows 2000, Windows XP e Windows Server 2003, affligge il servizio Server presente su tutti i sistemi operativi Windows moderni.

Inviando una richiesta RPC malformata ad un calcolatore non debitamente aggiornato, un cracker potrebbe eseguire codice da remoto e guadagnare il totale controllo del PC via Internet, garantendosi il pieno accesso a tutte le informazioni memorizzate (servizi di e-banking e password per i siti riservati comprese), oppure la possibilità di accendere la webcam e il microfono eventualmente presenti o, ancora, utilizzare il sistema come distributore di spam o testa di ponte per portare attacchi verso terzi.

Windows Vista e Windows Server 2008 meno esposti

Anche l'ultima generazione di sistemi operativi Microsoft è vulnerabile, sebbene in modo meno grave. Se qualsiasi utente, anche anonimo, può infatti sfruttare il baco e portare con successo un attacco contro calcolatori dotati di Windows 2000, Windows XP o Windows Server 2003, per aggredire Windows Vista o Windows Server 2008 è necessario che il cracker sia in possesso di credenziali di accesso valide.

Questo, ricondotto a scenari reali, può significare un contesto di rete multiutente, quali una LAN aziendale/universitaria molto ampia.

Alla luce di queste differenze, Microsoft ha etichettato l'aggiornamento come Important per quanto riguarda Windows Vista e Windows Server 2008.

Anche Windows 7 pre-beta è a rischio

Nel bollettino è presente una nota sicuramente curiosa: Microsoft segnala infatti che anche la pre-beta di Windows 7, versione di Windows destinata a succedere all'attuale Windows Vista, è a rischio, con le stesse limitazioni inerenti lo stesso Windows Vista.

Anche i (pochissimi) betatester che avessero in adozione il prodotto sono quindi invitati ad aggiornare la propria copia.

Modalità di aggressione

Problemi di questo tipo sono fra i più pericolosi nel mondo della sicurezza IT, poiché non richiedono alcun intervento da parte dell'utente.

Se infatti nella maggior parte dei bug di sicurezza rilevati nelle applicazioni è necessaria un'azione da parte dell'utente (visitare un sito-trappola, aprire un documento appositamente confezionato o un programma allegato ad un messaggio e-mail, tanto per fare alcuni esempi), in questo caso il sistema può essere compromesso semplicemente inviando uno speciale messaggio via rete: il calcolatore potrebbe essere compromesso anche in caso non vi fosse alcun utilizzatore seduto davanti allo stesso.

Ecco quindi che anche l'aggressione ai server potrebbe essere attuabile.

Rischio worm

Il problema è sicuramente serio anche per la possibilità di essere sfruttato in automatico: stando a Microsoft, vi sarebbe infatti la concreta possibilità che un cracker possa confezionare un worm basato su tale vulnerabilità, in grado di auto-replicarsi su tutti i calcolatori collegati ad ogni bersaglio contro cui l'attacco fosse andato a buon fine.

Ottenere la patch

La distribuzione dell'aggiornamento via Aggiornamenti automatici è già iniziata: tutti gli utenti che avessero mantenuta attiva l'opzione dovrebbero quindi ricevere la correzione in modo trasparente.

Per gli amanti dell'aggiornamento manuale, o per chi cercasse l'installer off-line, il punto di partenza è qui.

L'opinione: C'è da preoccuparsi?

Questa falla ha numerose similitudini con quella che portò alla creazione di Blaster prima e Sasser in seguito.

Come allora, anche oggi è sufficiente adottare un personal firewall in configurazione standard per essere al sicuro: questa volta però, Windows Firewall, già di per sé sufficiente ad arginare il problema, è incluso e abilitato per impostazione predefinita su tutte le connessioni create da Windows XP SP2 in poi.

Inoltre, oggi la maggior parte delle connessioni ad Internet avviene mediante un router dotato di firewall, che offre un ulteriore sbarramento al diffondersi di una aggressione su larga scala.

Concludendo quindi: è importante aggiornare questa patch? si, sicuramente.

È ipotizzabile che si possa assistere una nuova ondata di simil-Blaster delle medesime proporzioni? questo lo escluderei.