Roma – Un cyberattacco vecchio di quasi 8 anni può ancora essere utilizzato per mandare KO alcune recenti versioni di Windows prive di firewall. Lo ha scoperto casualmente un informatico serbo, Dejan Levaja, mentre stava saggiando la sicurezza della propria rete.
Conosciuto con il nome di “attacco LAND”, il metodo di denial of service (DoS) utilizzato da Levaja consiste nell’inviare verso un computer un paccketto TCP con il flag SYN attivo e con l’indirizzo IP di origine e di destinazione, inclusi i relativi numeri di porta, della macchina di destinazione. Come risultato si ottiene una piccola bomba digitale capace, secondo Levaja, di bloccare un sistema con Windows Server 2003 o Windows XP Service Pack 2 (e con il firewall disattivato) per un arco di tempo compreso fra 15 e 30 secondi. Ripetendo l’invio del pacchetto malformato ad intervalli regolari, l’esperto sostiene che è possibile arrivare a bloccare un’intera rete per un tempo indefinito.
Ciò che inquieta gli esperti è che a differenza di altri tipi di attacco DoS, la cui efficacia dipende dalle risorse di calcolo e banda disponibili, il LAND può essere lanciato praticamente da chiunque: per ottenere i risultati descritti da Levaja è infatti sufficiente un vecchio PC con Linux, un paio di tool open source e una qualsiasi connessione ad Internet, anche da 56 Kbps.
Per sventare l’attacco basta tuttavia un firewall personale, incluso quello integrato in Windows XP: ciò limita enormemente, specie nel panorama aziendale, i sistemi potenzialmente vulnerabili. Microsoft ha poi sottolineato come il LAND non possa essere in alcun modo utilizzato per eseguire del codice da remoto.
Levaja afferma di aver segnalato il problema a Microsoft il 25 febbraio: dopo aver atteso invano una risposta per 7 giorni, lo scorso fine settimana l’esperto ha deciso di pubblicare i dettagli della vulnerabilità sulla mailing-list Bugtraq.
In questo advisory SANS Institute ha fornito ulteriori informazioni sul problema e ha confermato, fra le altre cose, che l’unica versione di Windows XP vulnerabile appare essere l’SP2 (senza firewall).
L’organizzazione ha poi spiegato che l’attacco LAND risulta pienamente efficace solo sulle macchine a singolo processore, dove l’occupazione di CPU raggiunge il 100%: sui sistemi multiprocessore, o su quelli dotati della tecnologia Hyper-Threading di Intel, l’occupazione totale di CPU non supera mai il 50%.