Redmond (USA) – A pochi giorni dall’annuncio, da parte di Microsoft, di una vulnerabilità nella gestione delle password di Windows, in Rete già circola un tool in grado di forzare, con la “forza bruta”, le password associate al servizio Lightweight Directory Access Protocol (LDAP).
Lunedì scorso Microsoft aveva infatti svelato l’esistenza di una falla nel metodo in cui Windows 2000 accede alla database delle password del servizio LDAP attraverso il protocollo SSL. Sfruttando questa vulnerabilità, un assalitore è potenzialmente in grado di intercettare e cambiare le password degli utenti, inclusa quella dell’amministratore.
Nel proprio bollettino di sicurezza , Microsoft sollecita gli amministratori di sistemi su cui giri LDAP su SSL, di aggiornare il più presto i loro sistemi con la patch rilasciata ad inizio settimana. Un avviso che si fa ora più stringente, vista la rapida diffusione del programma citato in precedenza, in grado di forzare una password basandosi su lettere generate casualmente o importate da un ampio dizionario di parole comuni.
Fortunatamente il servizio LDAP su SSL non è largamente diffuso e non fa parte dei servizi installati di default da Windows 2000.