Distribuiti sulle mailing list degli hacker tre crack. Per fermarli, va filtrata la porta 135
31 luglio 2003 Diversi gruppi di hacker hanno distribuito attraverso Internet porzioni di codice utilizzabili per sfruttare l’ennesima vulnerabilità scoperta nel sistema operativo Windows.
Si tratta dello stesso punto debole che ha spinto il nuovo dipartimento americano della “Homeland security” ha lanciare lo scorso venerdì un allarme a tutti gli amministratori di rete.
Giudicata “critica” dalla stessa Microsoft (il livello più elevato
dei suoi quattro gradi di allerta in circostanze del genere) la vulnerabilità
è stata scoperta la prima volta due settimane fa e consentirebbe l’accesso a un
sistema attraverso un “buco” all’interno del protocollo Rpc (Remote
Procedure Call) di Windows.
Una falsa richiesta può provocare un errore di buffer overflow su un computer
che utilizza Windows. A questo punto l’eventuale hacker può assumere
il controllo della macchina per eseguire altro codice o rimuoverne i file.
Sarebbero almeno tre i “crack” distribuiti attraverso alcune mailing list dedicate alla sicurezza, da BugTraq a Full-Disclosure.
La prima forma di attacco si chiama Dcom.c ed è stata subito
seguita da altre due. La diffusione dei crack non implica necessariamente che
su Internet sia già entrato in circolazione un worm capace di sfruttare questo
punto debole, ma secondo gli esperti un attacco è possibile in ogni momento.
Ulteriori evoluzioni del codice potrebbero richiedere un paio di settimane di
tempo.
Ci sono anche i primi suggerimenti in attesa dei patch ufficiali. Gli
esperti raccomandano di disabilitare Dcom attraverso il Registro di Windows e
di filtrare accuratamente la porta numero 135, identificata anche da
Microsoft, porta che viene, per esempio, utilizzata nelle comunicazioni tra Outlook
e i server Exchange.
