Come segnalato anche in un post di Feliciano Intini è stato rilasciato il bollettino di sicurezza Microsoft straordinario (Out-of-Band) "MS08-067 - Vulnerability in Server Service Could Allow Remote Code Execution (958644)".
Quale risulta, quindi, lo scenario di rischio da questa breve analisi del bollettino MS08-067? Per le versioni Windows 2000, Windows XP e Windows Server 2003 le caratteristiche della vulnerabilità sono tali da renderla sfruttabile da possibili malware di tipo Worm (codici malware che riescono a propagarsi automaticamente sulla rete da un sistema all'altro senza necessità di interazione dell'utente). Questo porta a raccomandare l'aggiornamento di questo tipo di sistemi con priorità assoluta e davvero urgente (anche se la patch va messa su tutti i sistemi Windows): la vulnerabilità è stata scoperta solo 2 settimane fa e nel corso dell'analisi di alcuni attacchi limitati e circoscritti, in particolare diretti a sistemi Windows XP. Anche se quindi non risultano pubblici ad ora codici di exploit è già nota la presenza di malware specifico in grado di sfruttare tale vulnerabilità: TrojanSpy:Win32/Gimmiv.A e TrojanSpy:Win32/Gimmiv.A.dll. Le soluzioni antimalware Microsoft sono già in grado di rilevare e bloccare questo tipo di infezioni specifiche, così come dovrebbero esserlo tutti i fornitori antivirus che hanno aderito al programma di condivisione anticipata MAPP lanciato proprio in questo mese.
Vi raccomando caldamente di consultare il seguente elenco di post che i diversi team di Microsoft dedicati alla sicurezza hanno rilasciato contestualmente al bollettino, sono davvero esaurienti su tutti gli aspetti di approfondimento tecnico di questa problematica:
- post del Microsoft Security Response Center (MSRC): MS08-067 Released
- post del Microsoft Malware Protection Center (MMPC): Get Protected, Now!
- post tecnico del team Security Vulnerability Research & Defense: More detail about MS08-067, the out-of-band netapi32.dll security update
- Post di Michael Howard: MS08-067 and the SDL
Il rating del bollettino è ovviamente Critical, ma uno sguardo di dettaglio mostra che le diverse versioni di Windows sono interessate con criticità differente: il motivo risiede nel fatto che nelle versioni di Windows meno recenti, Windows 2000, Windows XP e Windows Server 2003 l'attacco può essere portato in modo anonimo (da qui la classificazione Critical della vulnerabilità), mentre nel caso di Windows Vista e Windows Server 2008 è necessario che le richieste RPC siano autenticate (e questo rende Important la classificazione della vulnerabilità). Come indicato dal titolo, esso provvede a correggere una vulnerabilità nel servizio Server relativa a tutte le versioni di Windows attualmente supportate, che permetterebbe di eseguire del codice non autorizzato da remoto nel contesto di sicurezza dell'utenza di sistema più privilegiata (LocalSystem). Ricordo che il servizio Server è quello che permette al vostro sistema (sia esso client, sia esso server) di condividere le risorse di rete (share) con gli altri computer. La modalità con cui può essere portato l'attacco è tramite l'invio di richieste RPC opportunamente malformate (le richieste RPC interessate viaggiano su pacchetti di rete che usano le porte TCP 139 e TCP 445: assicurarsi che tali porte siano bloccate sul proprio firewall permette di prevenire eventuali attacchi che giungano da Internet).
