Redmond – In un advisory datato 30 agosto, ma balzato all’attenzione dei media solo in questi giorni, il Product Support Services (PSS) di Microsoft ha lanciato l’allarme per il “crescere del livello di attività di hacking” che nell’ultimo periodo sembra aver interessato i server su cui gira Windows 2000. Microsoft afferma in ogni modo che le informazioni contenute nel suo bollettino di sicurezza riguardano tutte le versioni di Windows a partire dalla 98.
Il big di Redmond spiega che “questi tentativi di hacking mostrano sintomi e comportamenti analoghi”, una caratteristica che indurrebbe a pensare che questi attacchi siano generati da un nuovo worm. Gli esperti di Microsoft sembrano in ogni caso più propensi a credere che queste violazioni della sicurezza siano da attribuirsi a persone in carne ed ossa che si servono di procedure semi-automatizzate e tool di cracking.
Nel suo avviso di sicurezza Microsoft rivela che molte delle macchine compromesse hanno in comune alcuni file utilizzati dai cracker per installare backdoor e prendere il controllo remoto dei sistemi vittima.
Uno dei file, gg.bat , tenta di connettersi ad altri computer utilizzando vari account di amministrazione e, in caso di successo, copia nel sistema diversi altri file, fra cui seced.bat , in grado di modificare le impostazioni di sicurezza dei sistemi compromessi, e gates.txt , che contiene invece un elenco di indirizzi IP.
Attraverso questi file batch i cracker sono riusciti ad installare su alcune macchine delle backdoor o dei cavalli di Troia che gli hanno consentito di prendere il controllo del sistema e di usarlo come testa di ponte per nuovi attacchi.
Microsoft ammette di non essere ancora riuscita a determinare la tecnica utilizzata dagli aggressori per guadagnare l’accesso sui computer, in ogni caso sostiene che i sistemi aggiornati con tutte le più recenti patch “dovrebbero” stare al sicuro: un condizionale che non piacerà molto agli amministratori di sistema che devono affrontare questa nuova e misteriosa minaccia.
Sui sistemi in cui si dovesse scoprire uno dei file elencati nel bollettino di Microsoft, il colosso di Redmond suggerisce di effettuare quanto prima una scansione antivirus alla ricerca di backdoor e cavalli di Troia conosciuti.
Ti potrebbe interessare
6 set 2002