Redmond (USA) – Microsoft sembra finalmente arrivata a capo delle misteriose aggressioni che nelle ultime settimane erano state lanciate contro molti server su cui gira Windows 2000. In un primo advisory (ora sostituito con questo ) datato 30 agosto, il Product Support Services (PSS) di Microsoft non riusciva a spiegarsi il crescente livello di “attività di hacking” registrate di recente, né era in grado di determinare la tecnica utilizzata dai cracker per piazzare sui sistemi compromessi alcuni script malevoli.
Sul nuovo bollettino di sicurezza aggiornato, Microsoft conferma un’ipotesi già ventilata inizialmente, e cioè che questi attacchi non sono il frutto di worm o alti agenti virali né sfruttano nuove falle di sicurezza. Il PSS spiega invece che gli aggressori sono persone in carne ed ossa capaci di sfruttare alcune vistose lacune nella gestione della sicurezza di molti server.
“Analizzando i computer che sono stati compromessi – si legge nell’articolo Q328691 della Microsoft Knowledge Base – Microsoft ha determinato che questi attacchi non sembrano sfruttare alcuna nuova vulnerabilità di sicurezza relativa al prodotto (Windows 2000, NdR) e non sembrano essere di natura virale o worm-like. Piuttosto, questi attacchi sembrano trarre vantaggio da situazioni in cui le precauzioni standard non sono state prese”.
Microsoft descrive questi attacchi come “una serie coordinata di tentativi individuali per compromettere i server basati su Windows 2000”. Ciò che dimostra con più evidenza lo stretto legame che unisce questa ondata di aggressioni è che nella maggior parte dei server “visitati” dai cracker si sono rinvenuti gli stessi file estranei a Windows o le stesse versioni modificate di certi tool di sistema: alcuni sono script in grado di modificare le impostazioni di sicurezza e installare backdoor, altri sono veri e propri cavalli di Troia.
Fra i sintomi elencati da Microsoft per riconoscere i sistemi compromessi vi è anche l’eventuale presenza di un cavallo di Troia chiamato Backdoor.IRC.Flood o di sue varianti: questo vermicello installa nel sistema un client IRC che consente di accedere da remoto al computer compromesso. Fortunatamente questo troiano è identificato da tutti i maggiori antivirus aggiornati.
Microsoft sottolinea come in molti casi gli aggressori sembrano riusciti a penetrare sui server sfruttando la debolezza delle password di amministrazione. Il big di Redmond suggerisce ai propri clienti di verificare la bontà delle loro password, disabilitare l’account guest, eseguire scansioni con antivirus aggiornati, usare firewall per proteggere i server interni e mantenere aggiornato il sistema con tutte le ultime patch.
Ti potrebbe interessare
11 set 2002