Redmond (USA) – Questa volta i cracker sono riusciti ad anticipare tutti ed eseguire quello che in gergo tecnico viene definito uno “zero day attack”, ossia un attacco che sfrutta una falla di sicurezza non ancora patchata.
La scorsa settimana ignoti aggressori si sono infatti avvalsi di una vulnerabilità di Windows 2000 per compromettere alcuni sistemi, fra cui un server della US Army. La falla, che al momento degli attacchi non era ancora pubblicamente nota, è stata corretta da Microsoft lo scorso lunedì attraverso il rilascio di una patch descritta nel bollettino di sicurezza MS03-007 .
“Il primo Zero Day attack degli ultimi tre anni si è verificato il 10 marzo, quando un server della US Army è stato compromesso con un attacco a basso livello”, ha spiegato in un comunicato la società di sicurezza TruSecure. “TruSecure ha appreso dell’attacco l’11 marzo e ha immediatamente contattato Microsoft. L’attacco si è verificato – evento molto raro – prima che Microsoft rilasciasse una patch, un fattore che pone seri rischi per la sicurezza delle aziende”.
“La disponibilità pubblica di un exploit per questa vulnerabilità – scrive il CERT in un advisory di sicurezza – accresce l’urgenza che gli amministratori di sistema applichino la patch”.
Il baco di sicurezza consiste in un buffer overflow contenuto all’interno di un componente di Windows 2000 ( ntdll.dll ) utilizzato dal Web Distributed Authoring and Versioning (WebDAV), un protocollo che consente la manipolazione dei file su di un server web. La vulnerabilità si presenta solo quando Internet Information Server 5 è attivo (lo è di default) e, secondo quanto dichiarato da Microsoft, non interessa né Windows NT né Windows XP.
“Un aggressore – si legge sul bollettino di Microsoft – può sfruttare la vulnerabilità inviando delle richieste HTTP create in un certo modo verso una macchina su cui gira IIS. La richiesta può causare il blocco del server o l’esecuzione di codice scelto dall’aggressore. Il codice può girare nello stesso contesto di sicurezza del servizio di IIS (che, di default, gira nel contesto LocalSystem)”. Questo significa, secondo TruSecure, che un cracker può “installare e cancellare file, aprire e modificare i file esistenti, e creare account con privilegi di amministratore”.
“Gli attacchi di tipo Zero Day sono particolarmente pericolosi perché la gente non ha il tempo di patchare i propri sistemi prima che questi possano essere attaccati”, ha spiegato Russ Cooper, surgeon general di TruSecure e fondatore della newsletter NTBugtraq. “L’attacco contro la US Army suggerisce che gli aggressori abbiano impiegato tecniche raffinate”.
“Ora il pericolo – secondo Luigi Pugnetti, CTO di Symbolic – è che nelle prossime settimane si assista alla nascita di un nuovo worm in grado di sfruttare questa vulnerabilità e di diffondersi tramite le piattaforme IIS 5.0”.
Ti potrebbe interessare
19 mar 2003