Microsoft sta investigando su di una vulnerabilità zero-day scoperta la scorsa settimana nel servizio DNS (Domain Name System) incluso in Windows 2000 Server Service Pack 4 (SSP4), Windows Server 2003 e Windows Small Business Server 2000 e 2003. Gli esperti affermano che la debolezza è già stata presa di mira da alcuni cracker per tentare di compromettere la sicurezza di un limitato numero di server .
In questo advisory Microsoft spiega che il problema consiste in un buffer overflow nell’interfaccia di gestione RPC (Remote Procedure Call) utilizzata dal proprio servizio DNS. Un aggressore potrebbe sfruttare la falla inviando degli speciali pacchetti RPC verso la porta in cui è in ascolto l’interfaccia di gestione remota del server DNS: tale porta è dinamicamente assegnata dal sistema, e varia fra 1024/TCP e 5000/TCP. Un attacco ben mirato potrebbe consentire ad un cracker di eseguire del codice con i massimi privilegi (system) e prendere il pieno controllo di un server remoto.
Sia FrSIRT che Secunia hanno giudicato la pericolosità della falla “critica”, ma in Windows 2000 e 2003 la portata del bug è moderata dal fatto che il servizio DNS non è attivo di default. Lo stesso non succede in Windows Small Business Server, la cui configurazione predefinita prevede l’avvio automatico del servizio. Microsoft ha sottolineato come la funzionalità di risoluzione dei domini accessibile sulla porta 53/TCP non sia vulnerabile a questo attacco.
Stando a quanto riportato da un portavoce di Microsoft, il problema interessa anche l’ultima versione beta di Windows Server Longhorn .
In attesa della pubblicazione di una patch ufficiale, nel suo advisory Microsoft suggerisce agli amministratori di sistema diversi workaround , tra i quali la disattivazione della gestione remota del DNS Server Service mediante una piccola modifica al registro di sistema.
Internet Storm Center ha confermato l’esistenza di un exploit, e in questo post ha riportato alcuni dettagli di un attacco.
Da PCWorld.com si apprende che Microsoft sta investigando anche sull’utente che, di recente, aveva postato sul blog TheHotfix.net una copia trafugata dell’ultima Community Technology Preview di Windows Home Server . La questione ha destato un certo interesse per il fatto che Microsoft ha negato l’accesso alle successive build del sistema operativo a tutti i Most Valuable Professional (MVP) che si chiamano “Richard”, lo stesso nome utilizzato dal tester che ha trafugato la CTP di Home Server.
“Lavoreremo con il Connect Admin per determinare chi, fra voi, è il vero responsabile di questa fuga di software”, si legge in una email inviata pochi giorni fa da BigM a tutti i propri MVP.