A rendere più urgente la correzione di un recente bug di Windows relativo al protocollo di rete Server Message Block (SMB) 2 è stata la divulgazione, negli scorsi giorni, di un nuovo exploit pubblico utilizzabile per eseguire codice sui PC in cui girano Windows Vista, Windows Server 2008 e le versioni di Windows 7 precedenti alla RTM.
Ad allarmare gli esperti c’è il fatto che il nuovo exploit, scritto dal ricercatore Stephen Fewer di Harmony Security, è stato inserito in Metasploit , un toolkit open source per il penetration testing utilizzato di frequente anche per fini poco leciti.
Microsoft è a conoscenza del problema da circa un mese e sebbene non abbia ancora rilasciato una patch ha messo a disposizione degli utenti un workaround automatizzato: per applicarlo è sufficiente visitare questa pagina e cliccare sul pulsante Fix it di sinistra, il quale provvede a disattivare SMB 2. Per riattivare questo componente, preferibilmente dopo aver applicato la relativa patch (in via di sviluppo), basterà cliccare sul pulsante Fix it di destra.
La falla, relativa all’implementazione del protocollo SMB 2, è stata scoperta lo scorso mese dall’esperto di sicurezza Laurent Gaffié, il quale pubblicò anche un exploit proof of concept: tale codice era però soltanto dimostrativo, e non poteva essere utilizzato direttamente per lanciare degli attacchi. Nonostante ciò, ai ricercatori di sicurezza non è occorso molto tempo per mettere a punto i primi exploit funzionanti: fino ad oggi il loro codice è circolato però soprattutto in forma privata, e poteva essere utilizzato solo per attacchi di denial of service.
Fewer sostiene che il suo exploit può essere utilizzato anche per l’esecuzione di codice a distanza, e per installare sui PC delle vittime backdoor o malware. L’efficacia del programma è stata però messa in dubbio da Kostya Kortchinsky, ricercatore senior presso la società Immunity, il quale afferma di essere riuscito ad eseguire del codice per mezzo dell’exploit di Fewer esclusivamente all’interno di una macchina virtuale VMware: al di fuori dell’ambiente di virtualizzazione il codice di Fewer causerebbe soltanto il crash del sistema.
Microsoft dovrebbe correggere definitivamente la falla con il rilascio dei prossimi bollettini di sicurezza, previsti per il 13 ottobre.
Come si è detto, BigM ha già fornito una soluzione temporanea al problema servendosi di uno script Fix it , una forma di workaround introdotta circa sei mesi fa e, da allora, utilizzata in oltre 300 occasioni per risolvere problemi, modificare le configurazioni di Windows o proteggere gli utenti da certi virus. Microsoft afferma che in oltre il 95% dei casi il pulsante Fix it “ha completamente risolto il problema”.
Alessandro Del Rosso