San Francisco (USA) – Lo chiamano “Sadmind/IIS Worm” ed è un codicillo che sta dando parecchio fastidio, anche se sfrutta vulnerabilità note da molto tempo su Solaris e Windows NT, due dei sistemi operativi di rete più diffusi su Internet.
Stando agli esperti del CERT, che hanno rilasciato un advisory che avverte della diffusione del worm, il codice è studiato per entrare nei sistemi Sun Solaris e da lì lanciare attacchi “in automatico” a siti Web gestiti su Microsoft Windows NT da Internet Information Server (IIS) 4 o 5.
Gli IIS attaccabili dal worm sono quelli che non hanno ancora installato la patch che va a sanare il bug noto come “vulnerabilità trasversale nella cartellina del web server”. Una patch che Microsoft ha rilasciato già lo scorso agosto.
Si tratta di una vulnerabilità che consente a URL, realizzate appositamente, di aggredire file eseguibili su server NT, un accesso che naturalmente dovrebbe essere impedito. Una volta “dentro” con questo sistema l’aggressore ha la possibilità di prendere possesso del server e di eseguire qualsiasi applicazione ma, “per fortuna”, nel caso di questo worm il programma si limita a cambiare le home page di qualsiasi sito ospitato dal server attaccato.
Le home page modificate sono tutte uguali e attaccano ironicamente sia il Governo degli Stati Uniti che il gruppo di crackers “PoizonB0x”, gruppo al quale si attribuiscono gli attacchi su centinaia di pagine web nell’ultimo mese legati alla “guerra cyber” che sarebbe in corso tra crackers filo-americani e filo-cinesi.
Per inserirsi in Sun Solaris, il worm sfrutta un bug noto in Sadmind che gli consente di entrare e di lanciare applicativi. La patch per questa vulnerabilità è disponibile da Sun fin dal dicembre del 1999 ma i server fino alla versione 8 di Solaris che non l’abbiano installata rischiano di essere sopraffatti, secondo il CERT, con tecniche di “buffer overflow”, che consentono di prendere possesso del server stesso.
Una volta “dentro” Solaris, il worm si prepara a scansionare la rete a caccia di server NT vulnerabili e di altri sistemi Solaris in cui replicarsi. Dopo essersi infilato nei server NT e aver colpito duemila pagine Web, il worm è studiato per colpire anche la home page di qualsiasi sito ospitato dal Solaris.