Connessioni / Next / Search / Sicurezza / Social
Microsoft, exploit in libera uscita per Windows. Ma quanto dannoso?
Un giallo nel giallo: prima Microsoft riduce la portata del bug corretto con la patch fuori programma MS08-067, poi torna sui propri passi a causa di un exploit malandrino. Leggerezza? No, tassonomia. Perché per Big M un cavallo di Troia fa meno danni di un worm
“Abbiamo riscontrato la disponibilità di un exploit che permette l’esecuzione di codice sfruttando la vulnerabilità corretta dal bollettino MS08-067“: il post a firma Mike Reavey nel blog di Microsoft Security Response Center non lascia spazio a dubbi. La patch fuori programma approntata da Big M in fretta e furia e nel totale riserbo la scorsa settimana, insomma, si è rivelata utile.
“L’exploit - continua il post - ha permesso l’esecuzione remota di codice su Windows Server 2003, Windows Xp e Windows 2000”. Non a caso, le piattaforme che Microsoft riteneva a maggior rischio d’attacco. Non è noto dove Big M abbia trovato l’exploit, ma è singolare che la scoperta sia avvenuta a sole ventiquattr‘ore da una presa di posizione in materia concettualmente opposta a quanto poi accaduto.
“Sappiamo del tentativo realizzare un exploit - scriveva Christopher Budd solo il giorno prima - […] ma le nostre analisi hanno dimostrato che il codice porta a un denial-of-service. Quindi, possiamo dire che non esiste nessun exploit pubblico”. Facile essere profeti con il senno di poi, ma minimizzare la portata di una vulnerabilità, che pure ha richiesto un’azione fuori dagli schemi abitudinari quale il rilascio di una patch urgente, non sembra molto lungimirante.
Eppure, il punto di vista di Budd - poi disatteso dall’evidenza - non era sbagliato a priori: per Microsoft, la vulnerabilità peggiore è “wormable“, vale a dire sfruttabile da un worm. E gli attacchi che tentavano di sfruttare il bug corretto con la patch fuori ciclo standard erano “cavalli di Troia, non worm autoreplicanti“.
Sta di fatto che a un solo giorno di distanza la posizione di Microsoft, espressa dai post di Budd prima e Reavey poi, è cambiata significativamente. Mantenendo, tuttavia, un comune denominatore: “Gli attacchi - scrive Reavey - sono ancora limitati e specifici, anche con il rilascio del nuovo exploit. La situazione rimane la stessa, visto che […] si tratta di trojan horse“.
Ce n’è abbastanza per porsi una sola domanda: se la vulnerabilità era così di basso profilo, perché intervenire con la patch fuori programma? Difficile credere che Microsoft abbia agito per un eccesso di prudenza. Ben più semplice seguire il consiglio di Big M, rimasto immutato da una settimana: aggiornare subito. Possibilmente, senza porsi tanti problemi.
Ancora nessun commento.