Sicurezza, raffica di patch da Microsoft

Microsoft pubblica altre patch per problemi di sicurezza: imputati il debugger di sistema di Windows, MSN Messenger e l'Active Directory di Windows 2000. Ma si torna anche a parlare di virus capaci di diffondersi attraverso la Rete: bersagliato SQL Server.

[ZEUS News - www.zeusnews.it - 24-05-2002]

A quanto pare, applicare l'ennesima super-patch per Internet Explorer non è abbastanza per sentirsi sollevati. E' del 22 maggio, infatti, un bollettino tecnico di Microsoft riguardante il componente di Windows NT e Windows 2000 dedicato al supporto al debugging di sistema: esso consente di verificare il comportamento "a basso livello" di Windows, ad esempio, a fronte di cambiamenti di configurazione o su hardware particolari. In termini più generali, un debugger è uno strumento mediante il quale è possibile controllare e pilotare l'esecuzione di un programma istruzione per istruzione: un "attrezzo" indispensabili per individuare bachi nei programmi in fase di sviluppo, nonché (ma questo è un altro discorso, che può sconfinare nell'illecito) per disassemblare il codice eseguibile e risalire, seppur con qualche limite, ai sorgenti.

Secondo quanto affermato da Microsoft, la falla è dovuta alla modalità di autenticazione delle richieste di utilizzo del debugger, che può consentire l'accesso alle proprie risorse anche a programmi non autorizzati. L'attaccante è così in grado di eseguire sul computer il software desiderato, con i privilegi dell'amministratore o del sistema operativo, a condizione che possa effettuare un login interattivo alla console o ad un terminale del computer stesso.

Il problema è, ovviamente, critico: perciò occorre armarsi di pazienza e buona volontà e installare le patch, reperibili attraverso links pubblicati nel bollettino di cui sopra.

Ancora da Microsoft giunge la comunicazione dell'esistenza di una grave falla nel MSN Chat Control, un componente ActiveX incluso nel MSN Messenger e nel Microsoft Exchange Instant Messenger al fine di dotarli della funzionalità di "chat". Un buffer overflow, che può essere provocato da una pagina HTML costruita maliziosamente, consente all'attaccante di eseguire sul computer i programmi desiderati, con i privilegi dell'utente che ha attivato il Chat Control; anche in questo caso è disponibile la patch. Grazie a Massimo Nespolo per la segnalazione.

E, mentre si scaricano le patch, vale la pena di soffermarsi un istante sul Microsoft SQL Server: diverse fonti, tra cui SecurityFocus, riportano la notizia di un worm (battezzato SQLsnake) che, mediante un dictionary attack, cioè sperimentando in rapida successione un elevatissimo numero di password, si guadagna l'accesso a SQL Server come amministratore, per poi scandagliare la Rete alla ricerca di altri server da colpire. Esso non intraprende azioni distruttive sui computer attaccati, ma genera un notevole traffico di rete, con il concreto rischio di provocarne il collasso.

Va detto che il successo del worm, realizzato in JavaScript, non dipende tanto da qualche debolezza intrinseca al prodotto Microsoft, quanto, piuttosto, dalla faciloneria con cui molti amministratori liquidano il "problema password". Infatti, dei due interventi possibili contro l'avanzata di SQLsnake, il primo consiste proprio nel proteggere l'account dell'amministratore con una password non banale: essa non deve basarsi su nomi propri o parole tratte dal vocabolario, neppure se storpiate o comunque modificate; deve includere caratteri alfabetici, numerici e, possibilmente, speciali; deve contenere sia maiuscole che minuscole e, infine, è bene che sia lunga. La seconda precauzione si estrinseca nel configurare opportunamente la propria rete, bloccando i tentativi di accesso alla porta TCP 1433 (solitamente utilizzata da SQL Server) provenienti dall'esterno di essa.

Si tenga inoltre presente che, da circa un mese, Microsoft ha rilasciato una patch critica per un buffer overflow individuato in SQL Server: anche se, al momento, non pare che SQLsnake sfrutti detta falla, sarà bene verificare e, se del caso, aggiornare il livello di patch.

Vale ancora la pena di citare un messaggio, pubblicato su Bugtraq, il cui autore sostiene di avere individuato un baco nella Active Directory di Windows 2000: la funzionalità di ricerca non controllerebbe correttamente i parametri forniti, consentendo ad un attaccante di provocare facilmente situazioni di Denial Of Service.

Sempre secondo l'autore del messaggio, Microsoft non avrebbe fornito alcun riscontro al riguardo, pur essendo a conoscenza del problema da oltre una settimana.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Stefano Barni - Quelli di Zeus

Commenti all'articolo (0)

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(6 commenti) Williams progetta auto da F1 con foglio Excel da 20.000 righe	News(5 commenti) Microsoft conferma Office 2024 LTSC

News(1 commento)

L'antenato di ChatGPT in un foglio Excel

News(4 commenti)

Fastweb compra Vodafone Italia

News(11 commenti)

La crisi di Tim e la divisione sindacale

News(4 commenti)

Il Parlamento Europeo approva la legge sull'intelligenza artificiale

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Con quale delle seguenti affermazioni, tutte relative a siti che vendono coupon e buoni sconto online, concordi di più? (Se vuoi dare risposte multiple utilizza i commenti)

	Sono un cliente abituale dei siti di coupon e in generale posso dichiararmi soddisfatto delle promozioni attivate tramite questo mezzo innovativo.
	Apprezzo i coupon soprattutto per provare quelle strutture dove non sono mai stato, o servizi che non ho mai utilizzato prima.
	Acquisto talvolta i coupon ma purtroppo molte volte non riesco a utilizzarli prima della loro scadenza, pertanto penso di diminuire questa attività o di continuare a farlo saltuariamente.
	Acquisto i coupon soprattutto per usufruire dello sconto e raramente acquisto nuovamente un servizio o torno in una struttura a "prezzo pieno".
	Solitamente acquisto un coupon soltanto se conosco già la struttura o il servizio offerto, non voglio fregature.
	Mi è capitato spesso di prendere delle fregature o di non essere servito alla stregua degli altri clienti, pertanto penso che non acquisterò più coupon.
	Non ho mai acquistato un coupon.