.:: Securnetwork.net Blog – Massimo Rabbi ::.

Microsoft chiude una pericolosa falla di sicurezza relativa al servizio RPC, che stando all’advisory avrebbe consentito di inserire ed eseguire in maniera remota codice nel sistema “vittima”.
In particolare per portare a termine l’attacco sarebbero sufficienti richieste RPC appositamente modificate e su un sistema Windows 2000,XP e 2003 non sarebbe nemmeno necessario autenticarsi affinche’ le richieste vengano processate.

Microsoft esprime la sua preoccupazione circa la possibilità che questo bug diventi una potenziale via di diffusione per un worm.
In particolare il worm MSBlaster, conosciuto anche come Lovsan, si diffuse attraverso una falla simile del servizio RPC nella metà del 2003, provocando danni ingenti a infrastrutture e sistemi in tutto il mondo. Questo pero’ fu dovuto anche alla mancata attivazione del firewall di Windows XP (o di terzi parti) su sistemi che si affacciavano su Internet e poi sulle rete locali senza alcun tipo di protezione.

Nel security bullettin MS08-067, Microsoft fa presente che sono già stati segnalati attacchi che sfruttano questo bug, anche se apparentemente non c’è ancora un exploit pubblico in circolazione.
I pc che hanno attivata una qualsiasi forma di firewall sono “teoricamente” al sicuro.
In Windows Vista e Windows Server 2008, è altresi’ necessaria una autenticazione prima che l’errore possa essere sfruttato.

Il codice bacato è stato scoperto solo recentemente, tanto che è addirittura contenuto nelle prime versione beta di Windows 7.
La raccomandazione è quella di installare prima possibile l’update.
Tutti i sistemi operativi (a parte Windows 2000) configurati per gli aggiornamenti automatici dovrebbero venire notificati della patch da installare.

RIFERIMENTI:
- Microsoft patches critical hole in its RPC service, by Heise Security
- Vulnerability in Server Service Could Allow Remote Code Execution MS08-067, by Microsoft