Rischi di attacco DoS soprattutto per le macchine Windows Server: la patch da installare

Uno degli aggiornamenti Microsoft che sono passati quasi inosservati è quello relativo alla risoluzione di una vulnerabilità che accomuna tutte le versioni di Windows ma che in ambito server assume importanza davvero fondamentale.

Contraddistinta dall’identificativo CVE-2018-5391, la lacuna di sicurezza – in mancanza della patch rilasciata dai tecnici Microsoft – può consentire a un aggressore remoto di bloccare l’intero sistema impegnando stabilmente al 100% il processore.

L’attacco è stato battezzato FragmentSmack perché sfrutta una défaillance del sistema operativo nella gestione dei pacchetti IP eccessivamente frammentati. All’atto pratico un utente malintenzionato può inviare una lunghissima serie di pacchetti IP frammentati da 8 byte ciascuno ritardando però l’invio del pacchetto dati finale. Il sistema operativo cercherà di riassemblare i vari pacchetti ma non riuscirà mai a concludere l’operazione, l’utilizzo della CPU salirà al 100% e la macchina cesserà di rispondere correttamente. Tutto tornerà alla normalità soltanto quando l’aggressore smetterà di inviare ulteriori frammenti.

Appare evidente che il problema risulta di fondamentale importanza per coloro che amministrano macchine Windows Server: un aggressore che sfruttasse la vulnerabilità potrebbe renderle inaccessibili impedendo l’erogazione dei vari servizi.

In questa pagina Microsoft ha pubblicato un workaround ossia una risoluzione temporanea per mettersi al sicuro. Purtuttavia, è stato confermato che le patch rilasciate lo scorso 11 settembre (vedere Patch day Microsoft di settembre 2018: alcune vulnerabilità sono davvero pericolose) permettono di risolvere definitivamente il problema.

Per mettere al sicuro almeno le macchine Windows Server, è perciò importante installare quanto prima gli aggiornamenti Microsoft di settembre 2018. Visitando però questa pagina, cercando la versione di Windows di proprio interesse in corrispondenza del paragrafo Affected Products, annotando il numero nella colonna Article in corrispondenza di Security only e digitandolo nella casella di ricerca del Microsoft Update Catalog, si potrà scaricare e applicare la singola patch senza dover installare, almeno per il momento, tutti gli aggiornamenti.

Il problema di sicurezza riguarda anche i sistemi Linux: il team che si occupa di seguire lo sviluppo del kernel Linux ha infatti messo a disposizione le patch correttive nel corso dei mesi di luglio e agosto. Lo stesso CERT statunitense ha pubblicato un bollettino a metà agosto invitando i fornitori di servizi di hosting e i provider cloud a provvedere prima possibile con gli aggiornamenti così da scongiurare qualunque rischio di attacco.