Buco nelle VPN basate su Windows 2000/XP

Una vulnerabilitÓ scoperta nel software di VPN di Windows 2000/XP potrebbe mettere a rischio molte intranet aziendali. Microsoft ne sta analizzando l'effettiva pericolositÓ

Innsbruck (Austria) - Una vulnerabilitÓ nel Point-to-Point Tunneling Protocol (PPTP) integrato in Windows 2000 e XP potrebbe mettere a rischio la sicurezza delle reti intranet o extranet. Ad affermarlo Ŕ la societÓ di sicurezza austriaca Phion Information Technologies (PIT) che, in un advisory, ha spiegato che un aggressore pu˛ sfruttare la falla per lanciare attacchi di tipo denial of service (DoS). L'azienda non esclude poi la possibilitÓ che un cracker riesca ad utilizzare la vulnerabilitÓ per penetrare all'interno di una rete protetta.

Il protocollo PPTP viene comunemente utilizzato nelle cosiddette virtual private network (VPN), reti realizzate su Internet o intranet che vengono protette attraverso tecnologie per la cifratura dei dati. Le VPN basate su Windows vengono spesso utilizzate per permettere ai dipendenti di un'azienda di accedere da remoto alla rete aziendale interna: questa caratteristica fa sý che una vulnerabilitÓ come quella scoperta da PIT, se permettesse effettivamente l'esecuzione di codice da remoto, possa considerarsi assai pericolosa per la sicurezza di un'azienda.

La falla descritta da PIT consiste in un buffer overflow contenuto nel sistema di pre-autenticazione del software di VPN di Windows 2000/XP. Attraverso un pacchetto PPTP confezionato ad hoc Ŕ possibile, secondo gli esperti di sicurezza di PIT, sovrascrivere la memoria del kernel ed eventualmente compromettere il sistema remoto, sia esso server o client. Il pericolo, spiega PIT, riguarderebbe anche gli utenti xDSL: in questo tipo di connettivitÓ, infatti, il canale che collega l'utente al provider sarebbe spesso protetto con il protocollo PPTP.
Nel momento in cui si scrive, Microsoft, che ha ricevuto notifica del problema lo scorso giovedý, si Ŕ detta ancora impegnata nella valutazione del problema.
TAG: microsoft
11 Commenti alla Notizia Buco nelle VPN basate su Windows 2000/XP
Ordina