Letta 2582 volte 24 ottobre 2008 alle 19.04 di netquik Fonte: Varie
MS08-067 e TrojanSpy:Win32/Gimmiv.A
LINK:
Come segnalato ieri, Microsoft ha rilasciato un aggiornamento di protezione d'emergenza "out-of-band" per correggere un vulnerabilità isolata nel sistema operativo Windows (tutte le versioni supportate) che può permettere ad un attacker di eseguire codice arbitrario su un computer vulnerabile.

L'urgenza del rilascio dell'aggiornamento [MS08-067], e dall'altro lato l'urgenza di implementazione da parte degli utenti della patch correttiva ora disponibile, derivano dalla natura del bug di sicurezza e dal fatto che codici exploit/malware capaci di sfruttare questa problematica sono già stati isolati "in-the-wild".

xlink MS08-067: Patch Critica per Windows  -  Microsoft: Patch "Out-of-band" 

L'attacco alla vulnerabilità, come evidenziato da Feliciano Intini, Chief Security Advisor di Microsoft Italia, può essere condotto tramite l'invio di richieste RPC opportunamente malformate (le richieste RPC interessate viaggiano su pacchetti di rete che usano le porte TCP 139 e TCP 445: assicurarsi che tali porte siano bloccate sul proprio firewall permette di prevenire eventuali attacchi).

Se su Windows 2000, Windows XP e Windows Server 2003 l'attacco può essere portato in modo anonimo (da qui la classificazione Critica della vulnerabilità), su Windows Vista e Windows Server 2008 è necessario che le richieste RPC siano autenticate (e questo rende solo Importante la classificazione della vulnerabilità).

Per le versioni Windows 2000, Windows XP e Windows Server 2003 le caratteristiche della vulnerabilità sono tali da renderla sfruttabile da possibili malware di tipo Worm (codici malware che riescono a propagarsi automaticamente sulla rete da un sistema all'altro senza necessità di interazione dell'utente). Questo porta a raccomandare l'aggiornamento di questo tipo di sistemi con priorità assoluta.

Come segnalato dall'azienda di sicurezza F-Secure, è già nota la presenza di malware specifico in grado di sfruttare tale vulnerabilità: TrojanSpy:Win32/Gimmiv.A. F-Secure commenta: "Questo è esattamente il tipo di vulnerabilità utilizzato da Blaster e Sasser per infettare milioni di computer nel 2003 e 2004. La ragione di questa patch di emergenza è che esiste già un codice malware che sta attivamente sfruttando la vulnerabilità per infettare i computer, che viene rilevano come Trojan-Spy:W32/Gimmiv.A. Questo trojan ruba informazioni confidenziali dal computer e le invia all'attacker. La situazione non è così terribile come in passato, dato che Windows XP SP2 e i successivi sistemi integrano un firewall in maniera predefinita. Se avete la condivisione di file stampanti attiva tuttavia, il vostro computer potrebbe essere vulnerabile. Raccomandiamo a tutti di applicare l'aggiornamento il più presto possibile". Una descrizione dettagliata di Trojan-Spy:W32/Gimmiv.A è disponibile sul sito di F-Secure.

Altri articoli correlati dalla blogosfera Microsoft di cui si consiglia la consultazione: Microsoft Security Response Center (MSRC), Microsoft Malware Protection Center (MMPC), Security Vulnerability Research & Defense, Michael Howard.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
 ONLINE
OSPITI 6
UTENTI 0
VISITE OGGI
73
 VISITE TOTALI
5.873.844
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Web Hosting
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X