sabato 19 febbraio 2011

Nuova pericolosa falla Zero-day in tutte le versioni di Windows


Ricercatori di sicurezza hanno individuato una nuova vulnerabilità sfruttabile da remoto in tutte le attuali versioni di Windows che potrebbe essere utilizzata da malintenzionati per eseguire codice arbitrario sulle macchine vulnerabili. Esiste già un proof-of-concept exploit in circolazione del bug. Il bug risiede nel protocollo del browser, che gira sopra il protocollo SMB (Server Message Block) di Windows. Un nuovo bug potenzialmente molto pericoloso è stato scoperto su Windows. 

L’allarme è relativo a una vulnerabilità nel protocollo SMB (Server Message Block) del sistema operativo di Microsoft ed è stato classificato come critico dai ricercatori di Vupen, mentre quelli di Secunia hanno parlato di un rischio moderato. Il protocollo SMB è utilizzato in Windows per gestire i servizi di condivisione della stampa e la condivisione di file, mettendo potenzialmente in pericolo tutti i sistemi operativi Windows. 

Microsoft ha specificato che i soli sistemi operativi vulnerabili sembrano essere Windows XP Service Pack 3 e Windows Server 2003 Service Pack 2, mentre non si hanno informazioni precise riguardo la vulnerabilità o meno degli altri sistemi operativi Windows. Oltre a minimizzare il problema, il gruppo di Redmond ha affermato che, soprattutto sui sistemi a 32-bit, non è possibile sfruttare il bug per eseguire del codice pericoloso da remoto e compromettere così la stabilità della macchina e l’integrità dei dati, mentre è possibile sui sistemi a 64 bit. D'altra parte la falla riguarda componenti utilizzati per la condivisione delle risorse in una rete locale tramite il protocollo SMB.


Microsoft inoltre ha dichiarato che la vulnerabilità è più probabile che si trovi sui server e difficilmente può essere sfruttata per l'esecuzione di codice remoto. Microsoft ha anche detto che sta studiando la falla, ma non ha fornito ulteriori informazioni sulle analisi che ha condotto finora. "Microsoft sta investigando sui pubblici crediti di una possibile vulnerabilità in Windows SMB [Server Message Block]," ha detto Jerry Bryant, un manager del gruppo appartente al Microsoft Security Response Center (MSRC). 

"Una volta che abbiamo finito l'indagine, prenderemo le misure appropriate per proteggere i clienti. Questo può includere un aggiornamento di sicurezza attraverso il processo di rilascio mensile, un out-of-cycle aggiornamento o ulteriori indicazioni per aiutare i clienti a proteggersi". Il ricercatore, identificato solo come "Cupidon-3005", ha postato Lunedi scorso un codice exploit per la vulnerabilità, che è riferito al "BowserWriteErrorLogEntry ()" la funzione all'interno del driver "mrxsmb.sys". Il conducente elabora le richieste per il protocollo Server Message Block che Windows utilizza per la comunicazione di rete. SMB viene utilizzato principalmente per fornire file e printer-sharing per le macchine Windows.


Secondo la società di sicurezza francese VUPEN, che valutato il bug come "critico", un successo exploit potrebbe "causare un denial of service o prendere il controllo completo di un sistema vulnerabile". Il primo potrebbe andare in crash Windows e produrre il famoso "Blue Screen of Death", che illustra un grave collasso del sistema operativo. La società danese di vulnerabilità tracker Secunia, classifica la falla come "moderatamente critica" e il livello di minaccia medio nel suo sistema comprende cinque fasi. Ha anche detto che gli hacker potrebbero sfruttare il bug per compromettere un PC. 

"Lo sfruttamento del successo potrebbe permettere l'esecuzione di codice arbitrario", ha avvertito Secunia. Alcune correzioni riguardanti le vulnerabilità di sicurezza non vengono divulgate. Microsoft stesso ha ammesso di non dichiarare nei bollettini ogni singolo bug che viene scoperto e patchato. Il primo Service Pack per Windows 7 contiene una serie di correzioni che non sono state divulgate pubblicamente. Un firewall correttamente configurato dovrebbe essere in grado di proteggere i sistemi da un eventuale attacco esterno, bloccando o filtrando le porte interessate (UDP e TCP 138, 139 e 445).

Nessun commento:

Posta un commento