Codice di attacco per critiche Microsoft Bug Surfaces

Solo poche ore dopo la pubblicazione dei dettagli di Microsoft di un bug critico di Windows, è emerso un nuovo codice di attacco che sfrutta il difetto.

Due sviluppatori hanno impiegato gli sviluppatori del test di sicurezza Immunity per scrivere il loro exploit, dopo che Microsoft ha rilasciato una patch per il problema giovedì mattina. Il software sviluppato da Immunity è reso disponibile solo ai clienti paganti, il che significa che non tutti hanno accesso al nuovo attacco, ma gli esperti di sicurezza si aspettano che alcune versioni del codice inizieranno a circolare in pubblico molto presto.

Microsoft ha fatto il passo insolito di affrettare una patch di emergenza per il difetto giovedì, due settimane dopo aver notato un piccolo numero di attacchi mirati che hanno sfruttato il bug.

La vulnerabilità non era stata resa nota prima di giovedì; tuttavia, emettendo la patch, Microsoft ha fornito agli hacker e ai ricercatori di sicurezza informazioni sufficienti per sviluppare il proprio codice di attacco.

Il difetto risiede nel servizio Windows Server, utilizzato per connettere diverse risorse di rete come server di file e stampa su una rete. Inviando messaggi dannosi a un computer Windows che utilizza Windows Server, un utente malintenzionato potrebbe assumere il controllo del computer, Microsoft ha detto.

Apparentemente, non ci vuole molto sforzo per scrivere questo tipo di codice di attacco.

" è molto sfruttabile ", ha dichiarato Bas Alberts, ricercatore di Immunity Security. "È un overflow dello stack molto controllabile."

I bug di overflow dello stack sono causati quando un errore di programmazione consente all'autore dell'attacco di scrivere un comando su parti della memoria del computer che normalmente sarebbero fuori dai limiti e quindi far eseguire quel comando da il computer della vittima.

Microsoft ha speso milioni di dollari cercando di eliminare questo tipo di difetto dai suoi prodotti negli ultimi anni. E uno degli architetti del programma di test di sicurezza di Microsoft ha avuto una valutazione sincera della situazione giovedì, affermando che gli strumenti di test della "fuzzing" dell'azienda avrebbero dovuto scoprire il problema in precedenza. "I nostri test fuzz non hanno preso questo e avrebbero dovuto", ha scritto il responsabile del programma di sicurezza Michael Howard in un post sul blog. "Quindi torniamo ai nostri algoritmi e librerie di fuzzing per aggiornarli di conseguenza. Per quello che vale, aggiorniamo costantemente le nostre euristica e regole di verifica fuzz, quindi questo bug non è unico."

Mentre Microsoft ha avvertito che questo difetto potrebbe essere usato per costruire un worm informatico, Alberts ha detto che è improbabile che un worm di questo tipo, se creato, si diffonda molto lontano. Questo perché la maggior parte delle reti bloccherebbe questo tipo di attacco al firewall.

"Vedo che si tratta solo di un problema nelle reti interne, ma è un bug molto reale e sfruttabile", ha affermato.