Redmond (USA) – Dopo aver investigato alcune segnalazioni pubbliche, verso la fine della scorsa settimana Microsoft ha pubblicato un advisory in cui descrive una vulnerabilità zero day che interessa Windows XP Service Pack 2 e tutte le versioni supportate di Windows Server 2003, Windows Vista e Windows Server 2008.
Microsoft spiega che la falla può consentire ad un programma maligno con privilegi limitati di acquisire diritti di LocalSystem , l’equivalente di root sui sistemi Unix/Linux. A differenza dell’account di Amministratore , quello LocalSystem garantisce pieno controllo su ogni aspetto del sistema.
“Del codice appositamente creato che giri nel contesto degli account NetworkService o LocalService potrebbe ottenere l’accesso alle risorse di processi che girano anch’essi come NetworkService o LocalService”, spiega l’advisory di BigM. “Alcuni di questi processi potrebbero essere in grado di elevare i loro privilegi a LocalSystem, consentendo di conseguenza ad ogni processo NetworkService o LocalService di elevare i suoi privilegi a LocalSystem”.
Va subito precisato che il problema si verifica esclusivamente se Internet Information Server (IIS) è attivo e configurato per eseguire codice utente (ad esempio, ASP.NET impostato in modalità full trust ), o se SQL Server è installato nel sistema e almeno un utente possa caricare ed eseguire codice con privilegi di amministrazione: questi privilegi, sottolinea Microsoft, non vengono concessi di default.
In Windows Server 2003 esiste anche un terzo vettore di attacco , rappresentato dal servizio Microsoft Distributed Transaction Coordinator (MSDTC). In generale, Microsoft afferma che ogni servizio che utilizzi il diritto SeImpersonatePrivilege e che esegua codice utente, può prestare il fianco ad un attacco per l’elevazione dei privilegi che sfrutti la falla incriminata.
Dal momento che i servizi suscettibili di attacco sono generalmente utilizzati sui server aziendali, gli esperti affermano che il tipico utente desktop dovrebbe essere immune a questa falla . In ogni caso, il livello di rischio legato alla vulnerabilità è considerato basso ( Secunia ) o moderato ( FrSIRT ) anche in ambito aziendale: oltre a funzionare con configurazioni dei servizi generalmente diverse da quelle predefinite, gli esperti sostengono che la debolezza può essere sfruttata solo con attacchi piuttosto sofisticati .
Nel proprio advisory Microsoft fornisce alcuni workaround , e suggerisce agli amministratori di sistema di configurare SQL Server con le impostazioni predefinite. L’azienda ha fatto sapere che continuerà a monitorare la situazione e pubblicare eventuali aggiornamenti sul proprio advisory e sull’ MSRC Blog .