La società rilascia il bollettino MS08-067 di sicurezza al di fuori delle normali calendarizzazioni. La patch è classificata critica per Windows 2000, XP e Server 2003.
Non è abitudine di Microsoft rilasciare aggiornamenti di sicurezza fuori dal “patch day” mensile, programmato per il secondo Martedì del mese. Quest’oggi il colosso di Redmond ha fatto un’eccezione rilasciando la patch “di emergenza” MS08-067.
L’aggiornamento di sicurezza è indicato come critico per tutti coloro che utilizzano sistemi Windows 2000, XP e Server 2003. Nel caso di Windows Vista e Windows Server 2008, la patch è classificata come “importante”.
I sistemi sprovvisti dell’aggiornamento potrebbero rischiare di vedere eseguito codice dannoso, nel caso in cui dovesse essere ricevuta una richiesta RPC modificata “ad arte” dall’aggressore.
I rischi derivanti dalla mancata applicazione della patch sono mitigati nel caso in cui l’utente o l’amministratore abbiano configurato correttamente il firewall: in questo modo è possibile fare in modo che sulla Rete, nel caso di sistemi server, siano “affacciate” (aperte) il numero di porte strettamente necessario.
Su Windows Vista e Windows Server 2008, inoltre, il codice vulnerabile – oggetto di correzione da parte dell’aggiornamento di sicurezza MS08-067 – è accessibile solamente da parte degli utenti autenticati. Per questo motivo Microsoft ha indicato, in questo caso, un livello di criticità più contenuto.
La patch arriverà sul sistema attraverso la funzionalità “Aggiornamenti automatici” di Windows. In alternativa, è possibile ricorrere a Windows Update, a MBSA oppure a strumenti come WSUS.
I perché di una patch d’emergenza
L’inusuale pubblicazione di un bollettino di sicurezza all’infuori del “patch day” mensile trova giustificazione nel tipo di vulnerabilità che l’aggiornamento consente di risolvere.
La patch MS08-067 si occupa infatti di sanare una falla di sicurezza legata alla gestione delle richieste RPC (Remote Procedure Call) di Windows. Un problema molto simile a quello che in passato è stato sfruttato dai worm Blaster e Sasser per infettare rapidamente milioni di sistemi in tutto il mondo.
Nei giorni scorsi in Rete hanno iniziato a diffondersi codici nocivi in grado di far leva sulla vulnerabilità con lo scopo di causare danni alla macchina oggetto di attacco. Per questo motivo, Microsoft ha deciso l’immediato rilascio di una patch risolutiva.
Fortunatamente rispetto a qualche anno fa, lo scenario è cambiato. Tutte le più recenti versioni di Windows integrano un firewall di base che ben protegge dai nuovi attacchi RPC, filtrando le porte 139 e 445. Tutti coloro che si collegano alla rete Internet mediante un router, dietro NAT, non potrà essere raggiunto direttamente dall’esterno a meno che, ovviamente, non siano state configurate sul router regole per il forwarding dei dati “sconvenienti”.
La patch è comunque critica e deve essere in ogni caso installata tempestivamente. Marco Giuliani, Prevx Malware Analyst, segnala di avere appena provveduto ad effettuare il “reverse engineering” del codice di Gimmiv.A, il malware che in questi giorni è stato impiegato per sferrare attacchi a sistemi ancora sprovvisti della patch MS08-067.
Il malware, una volta in esecuzione sul sistema, ruba tutta una serie di informazioni personali dell’utente quali credenziali di Outlook Express, password e credenziali collezionate all’interno del Windows Protected Storage, credenziali di accesso di MSN Messenger, patch installate nel sistema, software installati e file recentemente aperti. I dati raccolti vengono cifrati ricorrendo all’algoritmo AES e trasmessi ad un sito remoto.
Giuliani osserva che “il malware sembra sia una sorta di test build. Il codice è in alcuni punti non ottimizzato, ridondante e usa spesso messaggi di debug. Tutte caratteristiche che lasciano pensare come il malware sia stato scritto ma non totalmente testato e questa release sia più una debug release“. C’è quindi da attendersi la comparsa, in Rete, di nuovi codici malware, decisamente più ottimizzati.
Secondo Microsoft gli attacchi sarebbero comunque al momento abbastanza contenuti: sarebbero meno di un centinaio le realtà aziendali oggetto di attacchi mirati.
