MS indaga su una falla di Windows

Microsoft ha avvisato i propri utenti di una vulnerabilitÓ in Windows Server, XP e Vista, che potrebbe portare alla consegna dei massimi privilegi di sistema. Il livello di rischio Ŕ per˛ mitigato da molti fattori

Redmond (USA) - Dopo aver investigato alcune segnalazioni pubbliche, verso la fine della scorsa settimana Microsoft ha pubblicato un advisory in cui descrive una vulnerabilità zero day che interessa Windows XP Service Pack 2 e tutte le versioni supportate di Windows Server 2003, Windows Vista e Windows Server 2008.

Microsoft spiega che la falla può consentire ad un programma maligno con privilegi limitati di acquisire diritti di LocalSystem, l'equivalente di root sui sistemi Unix/Linux. A differenza dell'account di Amministratore, quello LocalSystem garantisce pieno controllo su ogni aspetto del sistema.

"Del codice appositamente creato che giri nel contesto degli account NetworkService o LocalService potrebbe ottenere l'accesso alle risorse di processi che girano anch'essi come NetworkService o LocalService", spiega l'advisory di BigM. "Alcuni di questi processi potrebbero essere in grado di elevare i loro privilegi a LocalSystem, consentendo di conseguenza ad ogni processo NetworkService o LocalService di elevare i suoi privilegi a LocalSystem".
Va subito precisato che il problema si verifica esclusivamente se Internet Information Server (IIS) è attivo e configurato per eseguire codice utente (ad esempio, ASP.NET impostato in modalità full trust), o se SQL Server è installato nel sistema e almeno un utente possa caricare ed eseguire codice con privilegi di amministrazione: questi privilegi, sottolinea Microsoft, non vengono concessi di default.

In Windows Server 2003 esiste anche un terzo vettore di attacco, rappresentato dal servizio Microsoft Distributed Transaction Coordinator (MSDTC). In generale, Microsoft afferma che ogni servizio che utilizzi il diritto SeImpersonatePrivilege e che esegua codice utente, può prestare il fianco ad un attacco per l'elevazione dei privilegi che sfrutti la falla incriminata.

Dal momento che i servizi suscettibili di attacco sono generalmente utilizzati sui server aziendali, gli esperti affermano che il tipico utente desktop dovrebbe essere immune a questa falla. In ogni caso, il livello di rischio legato alla vulnerabilità è considerato basso (Secunia) o moderato (FrSIRT) anche in ambito aziendale: oltre a funzionare con configurazioni dei servizi generalmente diverse da quelle predefinite, gli esperti sostengono che la debolezza può essere sfruttata solo con attacchi piuttosto sofisticati.

Nel proprio advisory Microsoft fornisce alcuni workaround, e suggerisce agli amministratori di sistema di configurare SQL Server con le impostazioni predefinite. L'azienda ha fatto sapere che continuerà a monitorare la situazione e pubblicare eventuali aggiornamenti sul proprio advisory e sull'MSRC Blog.
6 Commenti alla Notizia MS indaga su una falla di Windows
Ordina