Redmond (USA) – Dopo nemmeno dieci giorni dall’enorme buco di sicurezza emerso nei sistemi Microsoft, buco che ha messo a rischio addirittura i codici sorgenti di almeno un software dell’azienda, la softwarehouse ha dovuto ammettere una nuova intrusione.
Questa volta non si tratta di cracker o di spionaggio industriale ma di un hacker, che si fa chiamare Dimitri, che avrebbe trovato una vulnerabilità in uno dei server Microsoft e l’avrebbe sfruttata per “dare un’occhiata”. In una intervista a IDG, Dimitri, che dice di essere olandese, ha dichiarato che Microsoft aveva dimenticato di installare sull’Internet Information Server della macchina aggredita una patch per un noto buco di sicurezza di quel sistema. Bug conosciuto già dallo scorso agosto.
A quanto pare, Dimitri avrebbe avuto accesso ad alcuni server web del sistema Microsoft e si sarebbe limitato ad uploadare un piccolo file, “Hack the Planet”. Ma stando a quanto dichiarato dall’hacker nell’intervista, non sarebbe stato difficile modificare i file che gli utenti scaricano dal web Microsoft: “Avrei potuto inserire dei cavalli di Troia nel software che viene scaricato dai clienti Microsoft”. I “Trojan horses” sono codici che sfruttano la trovata di Ulisse e, una volta piazzatisi all’interno di un computer vittima, consentono all’autore del codice di eseguire da remoto numerose istruzioni sulla macchina colpita.
Dimitri ha detto di aver potuto osservare bene la struttura dei server e di aver scaricato dei file cifrati contenenti nomi utenti e password che avrebbero potuto consentire l’accesso ai server con i privilegi di amministratore. Ha spiegato che quei file potrebbero essere decifrati con un codice noto come LOft, un’operazione che comunque, ha precisato, non ha voluto fare.
Microsoft ha dovuto ammettere l’aggressione e un portavoce dell’azienda, Adam Sohn, ha spiegato che i tecnici sono al lavoro per verificare quanto accaduto e per completare un nuovo check di tutti i sistemi. Sohn ha confermato che Dimitri ha sfruttato un buco di IIS che non era stato risolto con l’apposita patch ma ha anche tenuto a sottolineare che il server colpito era del tutto secondario: “Il suo unico scopo era il redirect. Un tempo veniva utilizzato per ospitarvi i contenuti relativi ad eventi stampa e di recente non veniva più utilizzato nemmeno per quello scopo”.