Presi di mira i buchi di IE

Roma – Confermando le facili previsioni degli esperti, su Internet è già stato pubblicato un exploit in grado di sfruttare una delle brecce di sicurezza di Windows stuccate da Microsoft la scorsa settimana . Il codice dell'exploit, conosciuto con il nome di SSLBomb , è stato pubblicato ad un solo giorno di distanza dal rilascio della megapatch MS04-011 di Redmond.

Per il momento SSLBomb è in grado, attraverso l'invio di pacchetti SSL confezionati in un certo modo, di bloccare le connessioni SSL dei sistemi su cui gira Windows 2000 o Windows XP e causare, in certi casi, il riavvio di Windows Server 2003.

Gli esperti del SANS Institute temono che una prossima versione dell'exploit possa far leva su questa falla per eseguire del codice da remoto: il pericolo più grande, in questo caso, è che tale codice possa essere utilizzato all'interno di nuovi worm.

La scorsa settimana Microsoft ha spiegato che la vulnerabilità legata a SLL, classificata come “critical”, è presente in diversi dei propri software che utilizzano il protocollo di sicurezza, inclusi Internet Information Server (nelle versioni 4.0, 5.0 e 5.1), Exchange Server (5.5, 2000 e 2003) e SQL Server 2000.

Nelle scorse ore VeriSign ha fatto sapere di aver rilevato nel fine settimana una sospetta e crescente attività di scanning mirata probabilmente a cercare server vulnerabili ad alcune delle recenti falle di Windows, fra cui quella di LSASS e ASN.1: questo potrebbe essere l'inizio, secondo quanto dichiarato dalla società di sicurezza, di un attacco su larga scala di un nuovo worm del tipo di Blaster .

“Analizzando il traffico di rete abbiamo potuto scoprire l'esistenza di più exploit in circolazione”, ha spiegato Karen McGuirk, media relations specialist di VeriSign. “Sebbene questi exploit non si siano ancora materializzati in un worm, è probabile che questo possa accadere nel giro di pochi giorni”.

Dunque, occhi aperti e sotto con le patch.