Gli hacker ripassano dalla porta 135

30 luglio 2003

Diversi gruppi di hacker hanno distribuito attraverso Internet porzioni di codice utilizzabili per sfruttare l’ennesima vulnerabilità scoperta nel sistema operativo Windows.

Si tratta dello stesso punto debole che ha spinto il nuovo dipartimento americano della "Homeland security" ha lanciare lo scorso venerdì un allarme a tutti gli amministratori di rete.

Giudicata "critica” dalla stessa Microsoft (il livello più elevato dei suoi quattro gradi di allerta in circostanze del genere) la vulnerabilità è stata scoperta la prima volta due settimane fa e consentirebbe l’accesso a un sistema attraverso un "buco" all’interno del protocollo Rpc (Remote Procedure Call) di Windows.

Una falsa richiesta può provocare un errore di buffer overflow su un computer che utilizza Windows. A questo punto l’eventuale hacker può assumere il controllo della macchina per eseguire altro codice o rimuoverne i file.

Sarebbero almeno tre i "crack" distribuiti attraverso alcune mailing list dedicate alla sicurezza, da BugTraq a Full-Disclosure.

La prima forma di attacco si chiama Dcom.c ed è stata subito seguita da altre due. La diffusione dei crack non implica necessariamente che su Internet sia già entrato in circolazione un worm capace di sfruttare questo punto debole, ma secondo gli esperti un attacco è possibile in ogni momento.

La terza variante di attacco resa pubblica dagli hacker contiene per esempio il necessario codice di scansione e propagazione. Ulteriori evoluzioni del codice potrebbero richiedere un paio di settimane di tempo.

Ci sono anche i primi suggerimenti in attesa dei patch ufficiali. Gli esperti raccomandano di disabilitare Dcom attraverso il Registro di Windows e di filtrare accuratamente la porta numero 135, identificata anche da Microsoft, porta che viene, per esempio, utilizzata nelle comunicazioni tra Outlook e i server Exchange.