Roma – L’US Department of Homeland Security (DHS) e il CERT hanno pubblicato nuovi avvisi di sicurezza in cui sottolineano l’importanza, per utenti e amministratori di sistemi Windows, di applicare al più presto la patch rilasciata lo scorso mese da Microsoft e relativa alla
grave vulnerabilità nell’implementazione dell’RPC
descritta nel bollettino MS03-026 .
Il DHS e il CERT sostengono che in Rete stanno circolando diversi exploit: il primo, come si ricorderà, pubblicato dal gruppo cinese Xfocus Team. Symantec ha poi scoperto l’esistenza di un tool di cracking integrante diversi script in grado di testare la positività di un host ad un certo numero di vulnerabilità di Windows, fra cui quella dell’RPC, e automatizzare le procedure che possono permettere ad un malintenzionato di penetrare sul sistema o lanciare attacchi di denial of service. Il tool può essere controllato attraverso la rete IRC.
L’emergere di questi strumenti d’attacco giustifica la rilevazione, da parte dei due organi americani per la sicurezza, dell’attività di scanning su alcune porte TCP/IP e UDP (135, 139 e 445), le stesse attraverso cui i cracker potrebbero penetrare sui sistemi vulnerabili. Il CERT afferma che sembrano esistere altre debolezze legate all’interfaccia RPC di Windows oltre a quelle scoperte e corrette da Microsoft: questo significa che la patch rilasciata lo scorso luglio dal big di Redmond potrebbe secondo gli esperti non bastare per mettere al sicuro un sistema. A tal proposito il CERT, nel proprio , suggerisce agli amministratori di filtrare il traffico di rete sulle porte a rischio.
Sebbene per il momento non si siano ancora “avvistati” worm capaci di sfruttare l’exploit del bug dell’RPC per diffondersi in automatico sui sistemi Windows vulnerabili, il DHS ha ribadito, come aveva già fatto la scorsa settimana, che il rischio è elevato e che gli amministratori dovrebbero prendere immediatamente tutte le contromisure necessarie affinché non si ripetano epidemie storiche come quelle che hanno visto per protagonisti codici virali come SQL Slammer e Code Red.
I risultati di un’indagine divulgati proprio di recente dalla società di sicurezza Qualys sembrano confermare il fatto che molti amministratori di sicurezza non applicano le patch con la dovuta solerzia. In particolare, l’azienda afferma che, in media, i fix più importanti vengono applicati con una frequenza che supera i 30 giorni.
Ti potrebbe interessare
4 ago 2003