Roma – L’atavica sfida tra Microsoft e i creatori di virus non ha conosciuto soste neppure in un mese vacanziero e spensierato come agosto. Da un lato il gigante di Redmond ha infatti corretto sei vulnerabilità di sicurezza, di cui la metà classificate con il massimo grado di rischio, dall’altra i virus writer hanno creato a tempo di record script, worm e bot capaci di approfittare delle nuove debolezze di Windows.
I bollettini di sicurezza rilasciati da Microsoft durante la prima metà di agosto sono 6 e riguardano vari componenti di Windows, tra cui Internet Explorer, il sistema plug and play, il servizio di telefonia, il protocollo Remote Desktop, Kerberos e il servizio per lo spooling delle stampe.
Il bollettino MS05-038 , di rischio “critical”, contiene un aggiornamento cumulativo per Internet Explorer che sistema tre nuove vulnerabilità di sicurezza: una, apparentemente molto simile a quella corretta lo scorso luglio nel componente javaprxy.dll , consiste in un bug contenuto in alcuni oggetti COM che potrebbe causare la corruzione della memoria di sistema; una seconda debolezza riguarda il problema nella gestione delle immagini JPEG venuta alla luce un mese fa ; la terza falla corregge un bug nel modo in cui il browser di Microsoft gestisce i cosiddetti web folder . La società di sicurezza eEye Digital Security ha avvertito che per le prime due debolezze esistono già exploit pubblici capaci di eseguire del codice da remoto o di causare il crash del sistema.
Pochi giorni fa Microsoft ha pubblicato anche un advisory di sicurezza in cui avvisa della presenza di un bug anche in altri oggetti COM, tra cui Microsoft DDS Library Shape Control ( Msdds.dll ): FrSIRT , che ha già pubblicato un exploit , ha assegnato al problema un fattore di rischio “critical”.
Il bollettino MS05-039 , anch’esso classificato come “critical”, descrive quella che molti esperti di sicurezza ritengono essere la falla più grave. Questa affligge la tecnologia plug and play integrata in Windows 2000, XP e 2003 e può essere sfruttata da un cracker per elevare i propri privilegi o, in alcuni casi, eseguire del codice da remoto.
“Trovare il problema e sfruttarlo è sfortunatamente fin troppo banale”, ha affermato eEye in un advisory. “Chiunque abbia un po’ di esperienza in questo campo non dovrebbe incontrare molte difficoltà nello sviluppare un exploit”.
Ed infatti, stando a quanto riportato da alcune note società di antivirus, ad oggi circolano già una decina di worm e bot, la maggior parte dei quali appartenenti alla famiglia Zotob , capaci di far leva sulla breccia di Windows. A correre più rischi, secondo eEye, sarebbero gli utenti di Windows 2000.
“Stiamo assistendo alla diffusione di diverse varianti di Zotob, come d’altra parte altri bots, che usano tutte lo stesso codice di exploit”, ha dichiarato Joe Hartmann, direttore dell’Anti-Virus Research Group di Trend Micro . “Esse hanno tutte la stessa funzionalità di base, a cui vengono aggiunte nuove caratteristiche, come ad esempio l’invio massiccio di posta. Questo può condurre ad una proliferazione più facile e veloce in tutto il mondo”.
Tra i primi bot ad aver sfruttato la vulnerabilità descritta nel bollettino MS05-039 c’è una variante di IRCbot programmata per contattare un server remoto e attendere ulteriori istruzioni. McAfee ha spiegato che se il worm viene eseguito su un sistema che non è ancora stato aggiornato, questo continuerà ad effettuare il reboot del computer. Il worm si installa nel sistema come wintbp.exe e resta in attesa di connessioni sulla porta TCP 8594.
Microsoft ha affrontato l’argomento in questo recente advisory , inoltre ha aggiunto il riconoscimento delle nuove minacce nella versione aggiornata del proprio Windows Malicious Software Removal Tool .
La terza e ultima vulnerabilità critica, descritta nel bollettino MS05-043 interessa il servizio per lo spooling di stampa di Windows 2000, XP e 2003. Microsoft afferma che il baco potrebbe consentire ad un aggressore di eseguire del codice da remoto e prendere il pieno controllo di un sistema. Secondo il big di Redmond gli utenti più a rischio sono quelli di Windows 2000 e Windows XP SP1: i meccanismi di sicurezza introdotti nell’SP2 e in Windows Server 2003 dovrebbero sensibilmente moderare la gravità della falla.
Classificata come “important”, la vulnerabilità descritta nel bollettino MS05-040 riguarda il servizio Telephony Application Programming Interface (TAPI) incluso in tutte le versioni di Windows. Microsoft ha spiegato che la falla potrebbe consentire ad un cracker di prendere il controllo di un PC remoto, tuttavia ha specificato che il servizio non è attivo di default. In Windows 98/Me la vulnerabilità è stata valutata come “non critica”.
Gli ultimi due bollettini, l’ MS05-41 e l’ MS05-42 , hanno entrambi un rating “moderate” e forniscono rispettivamente le patch per un bug nel protocollo Remote Desktop e nel servizio di autenticazione Kerberos integrati in Windows 2000, XP e 2003. Il primo problema era già stato pubblicizzato da Microsoft in un advisory pubblicato lo scorso luglio: il colosso ha confermato che il buco può essere sfruttato esclusivamente per attacchi di tipo denial of service, inoltre il servizio Remote Desktop è normalmente disabilitato tranne che in Small Business Server e Windows XP Media Center. Il secondo bollettino contempla invece due diverse vulnerabilità che potrebbero essere sfruttate per attacchi DoS, furto d’informazioni e spoofing.