Alcuni hacker sono riusciti a sfruttare l’ultima falla critica del protocollo RPC di Microsoft.

CyberwarSicurezza

Gli esperti di sicurezza avvisano

La vulnerabilità, scoperta in settimana, è molto simile a quella sfruttata dal worm Blaster, che ha infettato milioni di computer il mese scorso. Ora che il codice sorgente della falla è disponibile, il timore è che si tratti solo di una questione di tempo prima che un worm tipo Blaster venga diffuso in rete. Il 10 settembre, Microsoft ha segnalato tre vulnerabilità nel protocollo RPC. Il Remote Procedure Call, spiega Microsoft, è un protocollo utilizzato dal sistema operativo Windows, che offre un meccanismo di comunicazione tra processi che consente a un programma in esecuzione in un computer di accedere a servizi su un altro computer. Il protocollo è derivato dal protocollo RPC OSF (Open Software Foundation), ma con l’aggiunta di alcune estensioni specifiche di Microsoft. Nella parte del servizio RPCSS che gestisce i messaggi RPC per l’attivazione DCOM sono state identificate tre vulnerabilità, di cui due possono consentire l’esecuzione di codice arbitrario e una può essere sfruttata per un attacco di negazione del servizio. Tali problemi sono dovuti a modalità errate di gestione dei messaggi con formato non valido. Le vulnerabilità menzionate interessano l’interfaccia DCOM (Distributed Component Object Model) presente nel servizio RPCSS e responsabile della gestione delle richieste di attivazione degli oggetti DCOM inviate da un computer all’altro. Se riesce a sfruttare la vulnerabilità, l’autore dell’attacco può eseguire codice nel sistema con i privilegi dell’account LocalSystem del sistema interessato oppure provocare un errore nel servizio RPCSS, quindi effettuare qualsiasi operazione sul computer, incluse l’installazione di programmi, la visualizzazione, la modifica o l’eliminazione di dati e la creazione di nuovi account con privilegi completi. Per sfruttare la vulnerabilità, è necessario sviluppare un programma in grado di inviare a un sistema interessato dal problema un particolare tipo di messaggio RPC con formato non valido e diretto al servizio RPCSS. Esperti di sicurezza che lavorano per iDefence e per Counterpane Information Systems hanno verificato il potenziale dell’exploit su macchine Windows 2000. I sistemi Windows XP, benché anch’essi vulnerabili, non sembrano poter essere compromessi attraverso questo particolare strumento offensivo, che comunque innalza il livello della minaccia. Secondo Counterpane, il software malevolo, individuato su un sito web cinese, aprirebbe un interfaccia sui sistemi vulnerabili che consentirebbe agli hacker da remoto di dare ordini e contrordini al sistema, con i privilegi di Amministratore. Ken Dunham, analista di iDefense, ha affermato che è «altamente probabile» che il codice malevolo basato su queste falle, venga messo in circolazione nel giro dei prossimi giorni. Microsoft raccomanda nuovamente di applicare la patch, disponibile all’indirizzo http://www.microsoft.com/italy/technet/solutions/security/ms03_039.asp .

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore