Redmond (USA) – Microsoft ha svelato l’esistenza in Windows NT 4, 2000 e XP di una vulnerabilità di sicurezza relativa al Remote Procedure Call (RPC), un protocollo standard utilizzato per la comunicazione fra processi remoti.
Classificata come “important”, la falla interessa quella porzione dell’RPC, detta Endpoint Mapper, che si occupa di scambiare messaggi su protocollo TCP/IP attraverso la porta 135/tcp. Nel bollettino di sicurezza MS03-010 Microsoft spiega che il problema consiste in una non corretta gestione, da parte di questo processo, di alcuni tipi di messaggi non standard.
Un aggressore può sfruttare questa falla stabilendo una connessione TCP/IP con l’Endpoint Mapper di una macchina remota e inviando al processo un messaggio confezionato in un determinato modo. Dato che l’Endpoint Mapper gira all’interno del servizio RPC, sfruttando questa falla l’aggressore è in grado di bloccare tutti i servizi basati sull’RPC e, eventualmente, disattivare alcune funzioni COM.
Microsoft afferma che a mitigare la serietà del problema interviene il fatto che, normalmente, i sistemi connessi ad Internet hanno la porta 135/tcp bloccata da un firewall.
Per correggere il problema Microsoft ha rilasciato due patch: una per Windows 2000 e una per Windows XP (a 32 e a 64 bit). Manca invece un aggiornamento per Windows NT 4.
“Sebbene Windows NT 4.0 – si legge sul bollettino di Microsoft – sia interessato da questa vulnerabilità, Microsoft non è in grado di fornire una patch. Le limitazioni nell’architettura di Windows NT 4.0 non supportano le modifiche che sarebbero richieste per rimuovere questa vulnerabilità”.
Microsoft suggerisce dunque agli utenti di Windows NT 4 di arginare la falla filtrando la porta 135/tcp con un firewall.
“Durante lo sviluppo di Windows 2000 – spiega Microsoft in una FAQ – sono state introdotte migliorie significative nell’architettura alla base dell’RPC. In alcune aree i cambiamenti apportati hanno modificato in modo importante il modo in cui il server RPC è stato costruito. L’architettura di Windows NT 4.0 è assai meno robusta di quella, più recente, di Windows 2000. A causa di queste due fondamentali differenze fra Windows Nt 4.0 e Windows 2000 e i suoi successori, è impraticabile ricostruire il software per Windows NT 4.0 per eliminare la vulnerabilità. Fare questo significherebbe riprogettare una parte davvero rilevante di Windows NT 4.0, e non soltanto il componente RPC interessato. Il risultato di una tale riprogettazione potrebbe essere parzialmente incompatibile con Windows NT 4.0 tanto da non assicurare più il corretto funzionamento delle applicazioni scritte fino ad oggi”.