Redmond (USA) – Microsoft ha rilasciato tre patch che correggono altrettanti problemi di sicurezza scoperti nella piattaforma Windows, fra cui una vulnerabilità “critica” che può consentire l’esecuzione di codice da remoto.
La vulnerabilità più grave, descritta nel bollettino di sicurezza MS03-026 , interessa tutte le versioni attualmente supportate di Windows, tranne Windows Me, e rappresenta la prima falla di Windows Server 2003 classificata da Microsoft con il grado di rischio “critical”.
Il bug consiste in un buffer overflow nell’implementazione di Windows del Remote Procedure Call (RPC), un protocollo standard che può essere utilizzato da un’applicazione per richiedere un servizio a un programma residente su un altro computer in rete. La falla riguarda quella parte dell’RPC che gestisce lo scambio di messaggi tramite TCP/IP.
“Il problema – ha spiegato Microsoft – è dovuto a modalità errate di gestione dei messaggi con formato non valido. Pertanto, un hacker potrebbe tentare di sfruttare questa vulnerabilità programmando un computer in grado di comunicare attraverso la porta TCP 135 con un server interessato dal problema, in modo da inviare un particolare tipo di messaggio RPC con formato errato. Alla ricezione di tale messaggio il servizio RPC del computer, affetto dalla vulnerabilità, potrebbe generare un errore tale da consentire l’esecuzione di codice non autorizzato. L’aggressore potrebbe essere capace di compiere qualsiasi azione sul sistema, incluso l’installazione di programmi, la visualizzazione, la modifica e la cancellazione dei dati, o la creazione di nuovi account con pieni privilegi”.
Microsoft ha sottolineato come i sistemi con Windows XP o Windows Server 2003 installati all?interno di una rete privata dotata di un firewall, normalmente hanno la porta TCP 135 bloccata, non consentendo in questo modo la possibilità di accessi esterni non autorizzati sulla porta RPC.
La vulnerabilità, scoperta da un gruppo di hacker polacchi noti come Last Stage of Delirium, è stata definita dalla nota società di sicurezza Internet Security Systems “un’enorme minaccia”. Il CERT, che ha dedicato al problema un avviso di sicurezza , sostiene che la falla è grave non solo perché interessa quasi tutte le versioni di Windows, incluso Windows Server 2003, ma soprattutto perché può essere sfruttata con relativa semplicità.
Microsoft ha raccomandato l?installazione della patch disponibile qui o attraverso il Windows Update.
Negli scorsi giorni Microsoft ha rilasciato anche altri due bollettini di sicurezza, l’ MS03-027 e l’ MS03-028 , che descrivono rispettivamente una vulnerabilità di Windows XP e una di Internet Security and Acceleration (ISA) Server 2000 Server.
La prima, classificata come “important”, consiste in un buffer non verificato presente in una funzione utilizzata da Windows XP per estrarre le informazioni relative agli attributi personalizzati di certe cartelle. Un aggressore potrebbe essere in grado di creare un file “desktop.ini” corrotto capace di mandare in crash la shell di Windows ed eseguire del codice sui sistemi di quegli utenti che aprono la cartella condivisa contenente il file “trappola”.
La seconda falla, anch’essa classificata come “important”, riguarda ISA Server 2000 e consiste in una vulnerabilità di tipo cross-site scripting contenuta all’interno di alcune pagine HTML che il server visualizza in risposta a certi errori. In alcuni casi un aggressore potrebbe indurre l’utente ad aprire una pagina HTML malevola attraverso cui sfruttare la falla ed eseguire codice a propria scelta.