SANS: nuovo exploit per Vista e Server 2008 permette il pieno accesso al sistema
L’Internet Storm Center (SANS) lancia un’allerta: un nuovo exploit, facendo leva su una vulnerabilità scoperta nell’implementazione del protocollo SMBv2 in Windows Vista ed in Windows Server 2008, permetterebbe ad un aggressore di acquisire pieno accesso alla macchina vulnerabile.
Se l’exploit si rivelasse sufficientemente “stabile”, potrebbe essere impiegato con lo scopo di sviluppare un worm in grado di agire su vasta scala.
Cosa consiglia provvisoriamente Microsoft
Configurare un firewall a livello di singolo host che blocchi l’accesso alle porte 139 e 445 o disabilitare completamente SMBv2 in attesa di una patch. L’intervento implica una modifica nel registro di Windows ed ha effetti negativi sulle prestazioni.
Nonostante ciò, è altamente consigliabile fino a che non sarà disponibile un aggiornamento di sicurezza ufficiale.
Come effettuare tali modifiche al registro di sistema
- Portarsi in corrispondenza della chiave HKEY_LOCAL_MACHINESystemCurrentControlSetServices
- cliccare su LanmanServer, su Parameters, aggiungere un nuovo valore DWORD nel pannello di destra, inserire smb2 nel campo “Nome” ed impostare il valore a 0
- dal prompt dei comandi si dovrà digitare net stop server quindi net start server
Al momento della disponibilità di una patch volta a risolvere il problema, la modifica potrà essere effettuata potrà essere annullata,modificando il valore smb2 a 1. Infine si dovrà ricorrere nuovamente ai comandi net stop server e net start server.
La Release Candidate (RC1) di Windows 7 è anch’essa vulnerabile ma non la è la versione definitiva (RTM).
Qui trovate l’advisory di Microsoft.
Articoli correlati:
