Non c'è pace per il servizio DCOM (RPC): nuovi exploit in arrivo?

Nel corso di queste ore si stanno ricorrendo voci (alcune assai autorevoli) circa la diffusione di nuovi “codici maligni” (exploit) in grado di sfruttare le vulnerabilità presenti nel servizio DCOM (RPC) di Windows NT, Windows 2000, Windows XP e Windows 2003 Server. Sembra che il nuovo exploit sia in grado di far danni anche su sistemi sui quali si sia provveduto ad installare la patch MS03-039. Da parte nostra, consigliamo di installare un software firewall (per esempio Outpost Firewall o Kerio Personal Firewall), ed eventualmente di servirsi dell’utilità DCOMBobulator – sviluppata da Steve Gibson – per disattivare (almeno temporaneamente) il servizio DCOM.
DCOMBobulator è un piccolo software che permette di disattivare il servizio DCOM che spesso resta inutilizzato e che, sempre secondo Gibson, lascerebbe il personal computer (anche dopo l’installazione delle ultime patch di sicurezza Microsoft) vulnerabile a futuri worm e “malware” in grado di sfruttarne le vulnerabilità di recente scoperta.
Component Object Model (COM) è l’architettura realizzata da Microsoft per componenti di software. Si tratta di uno standard che prevede l’utilizzo e il riutilizzo reciproco da parte di componenti di software arbitrari. Viene spesso utilizzato ai fini dell’integrazione di funzioni destinate all’utente finale in diverse applicazioni. Il modello Distributed Component Object Model (DCOM), introdotto con Windows NT 4.0 ed ereditato in Windows 2000/XP/2003, è un ampliamento del modello COM i cui componenti sono in grado di comunicare in rete.
Scaricate DCOMbobulator da qui (28,5 KB), eseguitelo quindi cliccate sulla scheda Am I vulnerable? (“sono vulnerabile?”) infine sul pulsante Local DCOM test.
Se il programma mostra la frase (di colore verde) DCOM is available but is NOT vulnerable significa che avete correttamente provveduto ad installare le patch risolutive (MS03-026 e MS03-039) recentemente messe a disposizione da Microsoft. Se, invece, DCOMbobulator mostra la frase DCOM is available AND vulnerable, significa che non si è provveduto ad installare le opportune patch di sicurezza ed il servizio DCOM risulta attivo e vulnerabile.
In entrambi i casi si può disattivare DCOM cliccando sulla scheda DCOMbobulate me! e cliccando su Disable DCOM. In questo modo vi proteggerete da eventuali vulnerabilità di futura scoperta riguardanti DCOM/RCP.
Qualora DCOM dovesse risultarvi necessario potrete riattivarlo successivamente semplicemente cliccando sul pulsante Enable DCOM.
Per maggiori informazioni, consultate questa pagina (in inglese).