Pressione su Microsoft, come Windows Attack Now Public

Gli hacker hanno rilasciato pubblicamente un nuovo codice di attacco che sfrutta un bug critico nel sistema operativo Windows, facendo pressione su Microsoft per correggere l'errore prima che porti a un'epidemia di worm.

La vulnerabilità è nota dal 7 settembre, ma fino oggi i programmi disponibili pubblicamente che lo sfruttano per attaccare i PC non sono stati in grado di fare di più che mandare in crash il sistema operativo. Un nuovo attacco, sviluppato da Stephen Fewer, ricercatore senior di Harmony Security, consente all'aggressore di eseguire software non autorizzato sul computer, il che in teoria lo rende un problema molto più serio. Il codice di minor numero è stato aggiunto al kit di test di penetrazione Metasploit open source lunedì.

Due settimane fa, una piccola azienda di software chiamata Immunity ha sviluppato il proprio codice di attacco per il bug, ma tale codice è disponibile solo per gli abbonati paganti dell'azienda. Metasploit, al contrario, può essere scaricato da chiunque, il che significa che il codice di attacco è ora molto più ampiamente disponibile.

[Ulteriore lettura: Come rimuovere il malware dal tuo PC Windows]

Lo sviluppatore di Metasploit HD Moore ha detto che l'exploit funziona con Windows Vista Service Pack 1 e 2, nonché con il server Windows 2008 SP1. Dovrebbe funzionare anche su Windows 2008 Service Pack 2, ha aggiunto in un messaggio Twitter.

Ma il codice potrebbe non essere completamente affidabile. Kostya Kortchinsky, ricercatore senior per l'immunità, ha dichiarato che potrebbe ottenere che l'attacco Metasploit funzioni solo sul sistema operativo Windows Vista in esecuzione su una sessione di macchina virtuale VMware.

Quando lo ha eseguito su sistemi Windows nativi, ha causato l'arresto anomalo delle macchine.

L'attacco "funziona sicuramente su almeno alcune macchine fisiche, ma sembra che potrebbe utilizzare più test", ha detto Moore.

In entrambi i casi, la versione pubblica di questo codice dovrebbe mettere gli utenti Windows in allerta. Gli esperti di sicurezza temono che questo codice possa essere adattato per creare un attacco worm autoproducente, proprio come l'epidemia di Conficker dello scorso anno.

Diversamente da Conficker, questo attacco non influirebbe sui sistemi Windows XP, Windows Server 2003 o Windows 2000.

Questo perché il difetto di fondo che tutti questi programmi sfruttano risiede nel sistema SMB (server message block) versione 2, introdotto in Vista. Microsoft ha confermato che l'attacco di Immunity funziona su versioni a 32 bit di Vista e Windows Server 2008, ma non ha avuto commenti immediati sul codice Metasploit.

Il difetto è stato corretto in Windows 7, ha detto Kortchinsky.

On Il 18 settembre, Microsoft ha rilasciato uno strumento Fix It che disabilita SMB 2 e la società ha dichiarato che sta lavorando a una correzione per il software.

Se tale patch sarà pronta in tempo per il prossimo set di patch di sicurezza di Microsoft, 13 ottobre, resta da vedere.