Ultime news
Ultimi articoli
Le ultime dal Forum |
CorrelatiTagPassa qui con il mouse e visualizza le istruzioni per utilizzare i tag!
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa.
La trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.
La pubblicazione di un exploit per una nuova debolezza rintracciata in Windows Vista, Windows Server 2008 e Windows 7 RC (ma non RTM) sta suscitando una certa agitazione fra gli esperti di sicurezza. Il baco, causato dal modo in cui il sistema operativo tratta l'intestazione di un pacchetto SMB2 contenente il carattere "&" in uno dei campi, potrebbe causare effetti variabili fra il crash del calcolatore assaltato e l'esecuzione di codice da remoto. In realtà, ad oggi gli esperti sono riusciti solamente a raggiungere la conseguenza più lieve: il relativo advisory diramato da Microsoft ("Vulnerabilities in SMB Could Allow Remote Code Execution") sostiene però che anche l'esecuzione di codice da remoto sia uno scenario plausibile. Come noto, il protocollo SMB è adibito alla condivisione delle risorse all'interno di una rete locale. Come tale, il servizio non è esposto sulla rete Internet e, comunque, il firewall in dotazione al sistema operativo è configurato per impedire connessioni provenienti dall'esterno verso questo servizio per impostazione predefinita. Il pericolo, perlomeno per il grande pubblico, dovrebbe essere attenuto anche dalla configurazione di default dei router domestici che, solitamente, sono equipaggiati con un firewall attivo di default. Il pericolo più grave lo corrono quindi le aziende e, in generale, tutti gli elaboratori che fossero parte di LAN particolarmente estese ed avessero abilitata la condivisione di file e stampanti. In attesa di un nuovo Conficker?Ad una prima analisi, la debolezza pare essere sufficientemente seria da far temere l'arrivo di un nuovo worm in grado di propagarsi a macchia d'olio. Se la possibilità che possa apparire una sorta di "Conficker-bis" sono attenuate dal fatto che la nuova falla interessa solamente Windows Vista e Windows Server 2008 (e non l'accoppiata Windows XP e Windows Server 2003 che ancora la fa da padrone in quanto a quote di mercato), non è da escludere che si possa assistere alla nascita di un malware analogo. In attesa di una patchMicrosoft si è detta attualmente al lavoro per studiare il problema e valutare la necessità di rilasciare una patch. Circostanza pressoché certa, considerata la gravità del problema. Ma poiché il ciclo di aggiornamento mensile per settembre è arrivato proprio martedì scorso, sarebbe necessario attendere ancora parecchi giorni prima che l'update venga rilasciato al pubblico: in particolare, se si seguisse la politica di aggiornamento standard, il prossimo bollettino è atteso per il 13 ottobre. Sebbene il gruppo non si sia ancora pronunciato al riguardo, è sicuramente molto probabile che si scelga di distribuire un "update straordinario", in anticipo rispetto all'appuntamento mensile: non è da escludere che, con un po' di fortuna, sia possibile scaricare il fix già entro la fine della prossima settimana. Come proteggersiFrattanto, Microsoft fornisce alcuni suggerimenti per tutelare la sicurezza dei propri calcolatori. L'utenza consumer, come detto, corre rischi contenuti: è infatti sufficiente accertarsi che il proprio personal firewall sia attivo per raggiungere un livello di sicurezza accettabile (sebbene non completo). Nel bollettino, si suggerisce anche di disabilitare il servizio di condivisione file e stampanti, oppure bloccarlo a livello di firewall: a conti fatti però, si tratta di un rimedio attuabile in pochissime circostanze, considerata l'importanza di questa funzione. Il suggerimento probabilmente migliore è quello che prevede la predisposizione di un filtro mirato su Windows Firewall. Per implementarlo, è sufficiente aprire una console di comando amministrativa e lanciare il comando netsh, seguito poi dalle seguenti istruzioni
Una volta che la patch sarà disponibile, il blocco potrà essere rimosso sempre mediante netsh, con i segueti comandi:
Dove xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx dovrà essere sostituito dal valore filterKey: restituito dal primo comando. Prima di applicare il blocco su larga scala, raccomando comunque a tutti gli amministratori di sistema di accertarsi che tutte le funzioni necessarie allo svoglimetno delle attività di produzione rimangano disponibili: Microsoft sostiene infatti che "alcune applicazioni che si appoggiano al protocollo SMB potrebbero non funzionare più correttamente". La seconda minaccia senza soluzioneÈ importante ricordare che la nuova debolezza è, ad oggi, la seconda non ancora corretta: solo pochi giorni fa infatti, è emerso un problema anche in IIS che, sebbene interessi una quota di utenti minore, non dovrebbe essere sottovalutato. Segnala ad un amico |
© Copyright 2024 BlazeMedia srl - P. IVA 14742231005