Svelato un attacco in grado di mandare in crash Vista

Nelle scorse ore è stato pubblicato sul web un codice “Proof-of-Concept” (PoC) scritto in Python che, di fatto, è in grado di mandare in crash un sistema Windows Vista o Windows 7 ove sia stata attivata la condivisione dei file e delle stampanti. L’attacco non richiede alcun tipo di autenticazione e può essere sferrato da remoto semplicemente indicando l’IP della macchina vulnerabile. Va sottolineato che i sistemi connessi alla rete Internet mediante un router non sono direttamente esposti al problema e non corrono rischi. Gli utenti che, ad esempio, utilizzano una qualunque versione di Vista e sono collegati direttamente ad Internet (ad esempio attraverso un modem tradizionale) possono essere invece oggetto di aggressione. In tal caso, infatti, viene esposta la porta TCP 445 impiegata dal protocollo SMB (Server Message Block) 2.0. Introdotto proprio in Windows Vista, SMB 2.0 è la nuova versione del protocollo usato principalmente per condividere file, stampanti e porte seriali.

Secondo l’autore della scoperta, la lacuna presente nell’implementazione del protocollo SMB 2.0 sarebbe legata ad un’incorretta gestione del carattere “&”, se inserito all’interno di una delle intestazioni del messaggio. In prima istanza sarebbero risultati vulnerabili Windows Vista e Windows 7. Dopo ulteriori test, come conferma il SANS, l’attacco si sarebbe rivelato efficace anche nei confronti dei sistemi Windows Server 2008.
Windows 2000 e Windows XP sarebbero invece immuni dal momento che il protocollo SMB 2.0 non è utilizzato in tali sistemi operativi.

Sintanto che non verrà rilasciata una patch risolutiva, soprattutto nel caso in cui non si sia connessi alla Rete attraverso un router, sarebbe bene bloccare il traffico in ingresso sulla porta TCP 445. Per verificare rapidamente se la vostra porta 445 è visibile dall’esterno, è possibile ricorrere a questo servizio digitando il numero della porta nel campo “Port number” e cliccando sul pulsante “Check“.

Va comunque sottolineato che i sistemi non direttamente aggredibili da remoto sono da ritenersi comunque vulnerabili ad attacchi provenienti dalla LAN.