Le patch annunciate da Microsoft riguardano un rischio di exploit molto alto. La X-Force di ISS teme attacchi seri a breve e invita a correre ai ripari, rivelando le condizioni per un possibile exploit
16 aprile 2004 Il linguaggio, anche giustamente tecnico, con cui vengono
annunciate le patch non sempre consente di capire il livello di rischio connesso
con il mancato aggiornamento dei sistemi.
Per quanto in questi giorni Microsoft abbia ammesso un fattore critico, più
evidente è la gravità della situazione se si
considera che una delle vulnerabilità riguarda la library SSL.
Questo protocollo si sta diffondendo sempre più rapidamente per la crittografia
di transazioni, pagamenti on line, trading on line e soluzioni di e-commerce.
I siti che usano SSL, dunque, non solo sono target molto sensibili, ma rappresentano
proprio l’obiettivo ideale degli attacker.
Internet Security Systems (ISS), che, come ha dichiarato il
country manager italiano Stefano Volpi, «già
dallo scorso settembre aveva individuato alcune di queste vulnerabilità
provvedendo a proteggere i propri utenti», ha conseguentemente innalzato
il livello di alert dal grado 1 a quello 2 già a partire da ieri, ma
lo porterà al grado 3 per tutto il weekend.
A detta dei responsabili di X-Force, il team che funge da security advisor
di ISS, è stato individuato una possibile condizione d’exploit
di tale vulnerabilità, che ritiene possa generare attacchi devastanti
con effetti paragonabili a quelli di Blaster e Sql Slammer.
Volpi crede sia doveroso “informare tutti sulle procedure adeguate
per proteggere le proprie reti e per cercare di prevenire la diffusione di attacchi”.
In particolare, le condizioni individuate da X-Force per lo sfruttamento della
vulnerabilità sulla libreria SSL prevedono che, oltre a quest’ultima,
sia contemporaneamente abilitato il protocollo PCT 1.0 per
l’handshake dei pacchetti. È una condizione normale sui
sistemi Windows 2000 e Windows NT e potrebbe consentire di sfruttare
come vettori dell’exploit Internet Information Server (IIS), Exchange
Server, Active Directory e potenzialmente qualsiasi software che si appoggi
alla libreria SSL.
A peggiorare la situazione, il fatto che i firewall e i sistemi di filtraggio
dei pacchetti tradizionali non sono in grado di identificare l’attacco.
Ovviamente, i clienti ISS, come tengono a specificare i responsabili della società,
sono già protetti grazie al servizio di update automatico.