FTP Microsoft nel mirino dei cracker

Redmond ha avvisato che la vulnerabilità recentemente emersa nel servizio del proprio webserver è già stata sfruttata in alcuni attacchi. La debolezza interessa anche IIS 7.0

Roma – La recente vulnerabilità scoperta nel servizio FTP di Internet Information Services (IIS) appare di portata più ampia rispetto a quanto inizialmente previsto. In un aggiornamento al suo advisory di sicurezza relativo al problema, Microsoft ha infatti reso noto che la falla non solo è già stata sfruttata in un circoscritto numero di attacchi, ma interessa anche IIS 7.0, una versione che in precedenza era stata esclusa dai prodotti vulnerabili.

Più nel dettaglio, Microsoft afferma che il bug potrebbe essere sfruttato per eseguire del codice a distanza in IIS 5.0 e per lanciare attacchi di denial of service (DoS) in IIS 5.0, 5.1, 6.0 e 7.0. Va sottolineato come quest’ultimo genere di attacchi non richieda l’accesso in scrittura al sito FTP, necessario invece per innescare l’esecuzione di codice maligno.

Microsoft ribadisce invece che la versione 7.5 del suo celebre webserver è immune al problema. Sebbene tale release sia inclusa in Windows Server 2008 R2 e in Windows 7, sul blog del Microsoft Security Response Center si informa che il servizio FTP 7.5 può essere scaricato anche dagli utenti di Windows Vista e Windows Server 2008 (che includono IIS 7.0).

La debolezza contenuta nel webserver di Microsoft consiste in uno stack overflow nel modulo FTP. Se una installazione di IIS consente l’accesso anonimo al sito FTP, un malintenzionato potrebbe loggarsi nel servizio e creare una directory con un nome generato ad hoc per innescare il bug. Se l’attacco ha successo, l’aggressore è in grado di eseguire del codice con i privilegi di LocalSystem. Secondo quanto riportato da Microsoft, quest’ultimo tipo di attacco funziona però esclusivamente con IIS 5.0: in tutte le altre versioni vulnerabili di IIS è possibile mandare in crash il servizio ma non eseguire del codice.

Nel precedente articolo dedicato alla vulnerabilità si trovano elencate alcune soluzioni temporanee che gli utenti di IIS possono adottare in attesa del rilascio di una patch.

Alessandro Del Rosso

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • fockopen scrive:
    NOTIZIA FALSA/INESATTA


    L'obiettivo del codice malevolo? Rimpinzare di messaggi di spam i vecchi post per generare quattrini senza dar troppo nell'occhio.ma stiamo scherzando ???tramite una url si puo' iniettare codice PHP che viene eseguito sul server ... la prima cosa che hanno fatto e' creare una backdoor (un mini server manager) codificato in base64.Tramite una semplice interfaccia fa accedere a tutto cio' che l' utente "apache" puo' fare: modifica, cancellazione, creazione, esportazione di files e directory ... nonche' ti fa amministrare mysql quasi meglio che il phpmyadmin (ci vuole poco), permette di eseguire comandi bash o wshell .. e compila un programma in C o in perl che lancia come demone che ascolta la porta 12345 del server ... cio' che viene passato tramite socket su tale porta viene eseguito dal sistema ... se ti pare poco...
  • Simone C scrive:
    ecco il codice del worm
    Siamo stati attaccati anche noi.ho isolato i file incriminati, ho deoffuscato il codice del worm e vi allego il link dove potete vedere in chiaro cosa fa ...http://pastebin.com/f3c5ad549saluti a tuttifsockopen
    • fockopen scrive:
      Re: ecco il codice del worm
      se create il secondo file e lo salvate come pippo.php lo lanciate da browser vedrete un campo password .. la password e' "angel" come scritto nel codice sorgente$admin['check'] = true; // se false non chiede nemmeno la pass ^^$admin['pass'] = 'angel';da quel pannello di amministrazione l' attaccante puo' far ben altro che mettere spam nei vecchi messaggi :)
  • wpp scrive:
    Molto meno interessante ...
    sapete, la differenza è che a me non ha chiesto un euro nessuno per usare wordpress.
    • AMEN scrive:
      Re: Molto meno interessante ...
      - Scritto da: wpp
      sapete, la differenza è che a me non ha chiesto
      un euro nessuno per usare
      wordpress.Ragionamento devastante.....
      • wpp scrive:
        Re: Molto meno interessante ...
        - Scritto da: AMEN
        - Scritto da: wpp

        sapete, la differenza è che a me non ha chiesto

        un euro nessuno per usare

        wordpress.

        Ragionamento devastante.....per le piccole menti
    • 4.3BSD scrive:
      Re: Molto meno interessante ...
      - Scritto da: wpp
      sapete, la differenza è che a me non ha chiesto
      un euro nessuno per usare
      wordpress.Per certi utenti non c'è differenza tra software opensource e crackato, alla fine sempre gratis è.
      • wpp scrive:
        Re: Molto meno interessante ...
        - Scritto da: 4.3BSD
        - Scritto da: wpp

        sapete, la differenza è che a me non ha chiesto

        un euro nessuno per usare

        wordpress.

        Per certi utenti non c'è differenza tra software
        opensource e crackato, alla fine sempre gratis
        è.se è un software per desktop che usi tra le tue 4 mura !
        • 4.3BSD scrive:
          Re: Molto meno interessante ...
          Non ruberesti mai un'auto, non ruberesti mai una borsa, non ruberesti mai un televisore... crackare è contro la legge. :-)
    • poiuy scrive:
      Re: Molto meno interessante ...
      C'è un fatto che si tende a dimenticare.
      Allarme rosso per la sicurezza delle installazioni WordPress non AGGIORNATE...Se è a pagamento, c'è un motivo (economico) per cui non aggiorni...Se è open-source e non aggiorni, poi non ti dovresti lamentare se sfruttano un bug per fare qualcosa con la tua versione obsoleta.
  • daniele_dll scrive:
    cambiare le password ...
    ... dell'ftp, del pannello di controllo dell'hoster e compagnia bella ... qualcuno, con della competenza tecnica, mi spiega a che serve? Il "worm" cambia del codice in wordpress ma questo non ha NULLA a che fare ne con i dati di acXXXXX dell'ftp ne con i dati di acXXXXX dell'hoster che sono diversi dal pannello di controllo di wordpress (ove comunque la password è un hash, quindi è al quanto difficile che il "worm" la possa leggere)Questa mania di consigliare di cambiare TUTTE le password, anche se non c'è ne sta motivo, è poco sensata: una volta, ad un mio cliente, un hoster ha detto "lei, per sicurezza, dovrebbe cambiare le password FTP o del pannello di controllo di hosting ad OGNI acXXXXX" ... certo, perché per sicurezza, dopo ogni uscita con la macchina non cambiamo le serrature e le chiavi? cosi stiamo sicuri.................
    • gdb scrive:
      Re: cambiare le password ...
      Ma hai letto? viene installato un utente con privilegi di amministrazione e una backdor, il che vuol dire che il cracker ha acXXXXX a tutti i dati disponibili, compresi i dati degli utenti.Quindi le operazioni da fare sono due, rasare via tutto, rinstallare una versione sicura, ripristinare i dati degli utenti ma con password cambiate e obbligandoli a non riutilizzare le precedenti password usate.
  • Funz scrive:
    Un motivo in più per cambiare la pw
    Se ho capito bene anche gli utenti dei blog infetti è meglio che cambino la password
  • Lemon scrive:
    Molto meno interessante del problema FTP
    A quanto vedo è molto più interessante parlare dell'FTP di MS che del bug di wordpress. Per me sono gravi entrambi, soprattutto wordpress ha un'alta diffusione.
    • EffeGGI scrive:
      Re: Molto meno interessante del problema FTP
      Tranquillo che se si chiamava MS Wordpress, avrebbe avuto almeno un centinaio di commenti...Se si chiamava Berlusconi Wordpress poi... non oso immaginare! :p
    • AMEN scrive:
      Re: Molto meno interessante del problema FTP
      - Scritto da: Lemon
      A quanto vedo è molto più interessante parlare
      dell'FTP di MS che del bug di wordpress. Per me
      sono gravi entrambi, soprattutto wordpress ha
      un'alta diffusione.I cantinari escono alla luce del sole solo se leggono MS, anzi M$
Chiudi i commenti