Chi è entrato nel network interno di Microsoft?

Un hacker ha fornito a Newsbytes le presunte prove di una intrusione clamorosa. Talmente clamorosa da destare molti dubbi. Ecco i dettagli di una incursione che Microsoft ha scelto di non commentare


Roma – Sarebbe una negligente configurazione di Windows2000 ad aver permesso ad un ignoto hacker di entrare nel network interno di Microsoft e di accedere ai contenuti dei computer aziendali della maggiore softwarehouse del mondo.

La notizia-bomba arriva da Newsbytes, che spiega di aver ricevuto da uno smanettone la documentazione che tenderebbe a provare l’avvenuta intrusione, come ad esempio una lista di moltissimi computer accessibili dall’interno del sistema.

Stando all’hacker white-hat “Benign”, come si autodefinisce lui stesso, l’intrusione sarebbe avvenuta sfruttando la porta TCP 445 di Windows 2000, una porta che di default è aperta per consentire la condivisione di dati con sistemi da remoto. Attraverso due “sistemi periferici” del network Microsoft, sostiene Benign, sarebbe stato possibile superare il firewall.

“Il traffico su una porta del genere – ha spiegato ieri a Punto Informatico Stefano Tagliaferri, IT networking specialist di una delle principali società finanziarie italiane – non viene monitorato e bloccato soltanto se chi ha configurato il firewall lo ha fatto male. Mi sembra davvero molto singolare che in Microsoft possa avvenire qualcosa del genere, altrettanto singolare è la coincidenza che ad alcuni sistemi periferici sia consentito superare il firewall. Non è molto credibile”.

Benign, che peraltro spiega di non aver utilizzato alcun “tool” speciale per entrare nel network, sostiene di non essere stato fermato da alcuna richiesta di identificazione e che tutti i computer non erano protetti da password o proprio la parola “password” consentiva l’accesso ai privilegi di amministrazione del sistema…

Secondo Benign, i sistemi “bucabili”, oggi protetti, erano anche collegati alla intranet Microsoft, e avrebbero dunque offerto un accesso al sistema interno. L’hacker sostiene di non aver fatto alcun danno, pur avendone avuto l’occasione: “Mi sono sentito come un bambino in un negozio di dolciumi. Ho letto studi su come bucare Windows e mi son detto: perché preoccuparsi di cose così quando trovi qualcosa come un mondo pieno zeppo di potenti macchine Windows 2000 tutte a tua disposizione?”

Newsbytes sottolinea che la lista fornita dall’hacker include il nome della macchina, il suo indirizzo IP, il workgroup, il nome utente e la password. E questo per 400 diversi sistemi.


Microsoft ha risposto spiegando che la propria policy è di non confermare nè negare dichiarazioni su presunte incursioni nei propri sistemi. Il boss del centro di sicurezza Microsoft, Scott Pulp, si è limitato a confermare che quando si installa Windows2000 non si richiede l’inserimento obbligatorio di password, sebbene sia raccomandato da Microsoft. Pulp ha anche confermato che la porta 445 è normalmente aperta per l’utilizzo del sistema in una rete ma ha spiegato che “non si tratta di un buco di Windows 2000”.

Va detto che per colpire e sfruttare la 445 occorre agire con il protocollo SMB (Server Messagge Block), cosa difficile da fare a meno che, chi attacca, non disponga a sua volta di Windows2000. “Su qualsiasi macchina Windows2000 connessa ad una LAN con il protocollo SMB – ha spiegato Tagliaferri – troviamo aperta la porta 139 e la 445 con connessione di tipo NULL di default”. Lasciarle così, accessibili, sarebbe dunque un errore imperdonabile, tanto più in Microsoft.

L’evento può apparire ancor meno credibile, in effetti, se si considera che da tempo la questione della porta e dei suoi problemi di sicurezza è al centro delle attenzioni degli esperti Microsoft. Nel novembre del 1999, nota Newsbytes, un esperto di sicurezza che oggi fa parte del gruppo di security in Microsoft, parlava della porta sostenendo che “guardando a ciò che è peggio, ci sono altre porte di cui preoccuparsi – la porta 445 riprende molte delle funzionalità della 139 (porta già utilizza in Windows9x e Me, ndr), dunque è un’altra porta da bloccare”. La 139, come ha sottolineato a Newsbytes Johannes Ullrich, di Dshield.org, è da sempre una delle dieci porte maggiormente sotto attacco di hacker e cracker.

Che la porta 445 sia “trascurata” dagli amministratori di sistema, secondo Benign, è invece evidente. A suo dire, con uno scanning è facile ottenere liste di decine di migliaia di porte che non sono bloccate, molte delle quali non hanno neanche una password di protezione. Uno scanning sui sistemi Microsoft, sostiene Benign, avrebbe messo in evidenza il possibile accesso attraverso i due computer “periferici”.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti