Microsoft ha rilasciato una nuova patch che riguarda DCOM. Ma si può disattivare direttamente il servizio installando un tool gratuito. Ecco la procedura
14 ottobre 2003 Nel corso di queste ore si stanno ricorrendo voci (alcune
assai autorevoli) circa la diffusione di nuovi "codici maligni" (exploit)
in grado di sfruttare le vulnerabilità presenti nel servizio DCOM
(RPC) di Windows NT, Windows 2000, Windows XP e Windows 2003 Server.
Sembra che il nuovo exploit sia in grado di far danni anche su sistemi sui quali
si sia provveduto ad installare la patch MS03-039,
rilasciata da Microsoft un mese fa e definita “critica” dalla stessa società di
Bill Gates.
Da parte nostra, consigliamo di installare un software firewall (per esempio
Outpost Firewall o Kerio Personal Firewall),
ed eventualmente di servirsi dell’utilità DCOMBobulator –
sviluppata da Steve Gibson – per disattivare (almeno temporaneamente) il servizio
DCOM.
DCOMBobulator è un piccolo software che permette di disattivare
il servizio DCOM che spesso resta inutilizzato e che, sempre secondo
Gibson, lascerebbe il personal computer (anche dopo l’installazione delle ultime
patch di sicurezza Microsoft) vulnerabile a futuri worm e "malware"
in grado di sfruttarne le vulnerabilità di recente scoperta.
Component Object Model (COM) è l’architettura realizzata
da Microsoft per componenti di software. Si tratta di uno standard che prevede
l’utilizzo e il riutilizzo reciproco da parte di componenti di software arbitrari.
Viene spesso utilizzato ai fini dell’integrazione di funzioni destinate all’utente
finale in diverse applicazioni. Il modello Distributed Component Object Model
(DCOM), introdotto con Windows NT 4.0 ed ereditato in Windows 2000/XP/2003,
è un ampliamento del modello COM i cui componenti sono in grado di comunicare
in rete.
Scaricate DCOMbobulator da questa
pagina (28,5 KB), eseguitelo quindi cliccate sulla scheda Am I vulnerable?
("sono vulnerabile?") infine sul pulsante Local DCOM test.
Se il programma mostra la frase (di colore verde) DCOM is available
but is NOT vulnerable significa che avete correttamente provveduto
ad installare le patch risolutive (MS03-026
e MS03-039)
recentemente messe a disposizione da Microsoft. Se, invece, DCOMbobulator mostra
la frase DCOM is available AND vulnerable, significa che non
si è provveduto ad installare le opportune patch di sicurezza ed il servizio
DCOM risulta attivo e vulnerabile.
In entrambi i casi si può disattivare DCOM cliccando sulla scheda DCOMbobulate
me! e cliccando su Disable DCOM. In questo modo vi
proteggerete da eventuali vulnerabilità di futura scoperta riguardanti
DCOM/RCP.
Qualora DCOM dovesse risultarvi necessario potrete riattivarlo successivamente
semplicemente cliccando sul pulsante Enable DCOM.
Per maggiori informazioni, consultate questa pagina (in inglese).
