Windows Attack Code Out, ma non in uso

È passata una settimana da quando gli hacker hanno rilasciato software che potrebbe essere utilizzato per attaccare un difetto in Windows Vista e Server 2008, ma Microsoft e le società di sicurezza dicono che i criminali non hanno fatto molto con l'attacco.

Lunedì Microsoft ha detto di non aver visto alcun attacco che ha sfruttato la vulnerabilità, un'analisi che è stata ripresa dalle società di sicurezza come SecureWorks, Symantec e l'unità iDefense di Verisign.

Mentre i criminali hanno subito un errore simile un anno fa, usandolo in ampia diffusione attacchi che in ultima analisi hanno costretto Microsoft a sbrigarsi con una patch di sicurezza prima del suo set mensile di aggiornamenti di sicurezza, cosa non avvenuta con quest'ultimo bug, che si trova nel software SMB v2 utilizzato da Vista e Server 2008 per fare file e stampante condivisione.

[Ulteriori letture: come t o rimuovere malware dal tuo PC Windows]

Il ricercatore di SecureWorks Bow Sineath ha detto martedì che ci sono diversi motivi per cui questo ultimo attacco non è stato raccolto. Forse la ragione principale è che il codice Metasploit non funziona in modo affidabile come l'attacco MS08-067 dello scorso anno e spesso causa il crash del computer invece di eseguire il software dell'hacker.

SMB v2 è in genere bloccato sul firewall, e non viene fornito con Windows XP, il che significa che l'attacco Metasploit non funzionerà sulla maggior parte dei PC. Vista, l'unico client Windows che è vulnerabile all'attacco, viene utilizzato su circa il 19% dei computer che navigano sul Web, secondo la Net Applications di Web Analytics. Windows XP viene eseguito sul 72 percento dei PC.

A causa di tutti questi fattori, il difetto SMB v2 non è semplicemente "tutto ciò che è popolare per un target", ha detto Sineath.

La scorsa settimana, Dave Aitel, CEO della sicurezza Il fornitore di strumenti Immunity ha previsto che Microsoft non avrebbe dovuto correggere l'errore prima della data prevista per la patch di sicurezza del 13 ottobre.

L'attacco Metasploit fa alcune supposizioni sulla memoria del computer che gli permettono di funzionare in determinate configurazioni hardware, ma in in molte situazioni, semplicemente non funziona, ha detto Aitel.

"Ho chiesto al team di Immunity di dare un'occhiata al nuovo exploit per valutare se Microsoft avrebbe corretto il bug SMB v2 presto, e la nostra valutazione iniziale è 'No, non lo faranno ", ha scritto in un elenco di discussione post martedì scorso. "Lavorare su questo problema nell'attuale exploit pubblico è probabilmente di due settimane di lavoro, a quel punto ci stiamo avvicinando a Microsoft Martedì e la necessità di una patch fuori banda è discutibile."

Il team di Metasploit è ancora lavorando al suo attacco, comunque. Domenica, Metasploit ha pubblicato i dettagli di un nuovo modo di sfruttare il bug e ha detto che stava lavorando a un modulo che sfrutta questa cosiddetta tecnica del trampolino.

Se il metodo del trampolino funziona e rende l'attacco Metasploit più affidabile, i criminali probabilmente inizieranno a usarlo, ha detto SecureWorks.