Nei giorni scorsi vi avevamo informato circa la pubblicazione del bollettino di sicurezza Microsoft MS11-100. Come avevamo precedentemente chiarito (ved. questo articolo), in realtà il numero totale dei bollettini resi disponibili nel 2011 avrebbe dovuto essere 99. I tecnici del colosso di Redmond, quasi a fine anno, hanno tuttavia preferito iniziare a distribuire un bollettino “out-of-band” senza aspettare il secondo martedì del mese ossia la giornata scelta per il rilascio degli aggiornamenti di sicurezza per Windows e per gli altri pacchetti software targati Microsoft.
La società guidata da Steve Ballmer ha voluto, in questo caso, bruciare le tappe dal momento che le vulnerabilità sanabili attraverso l’applicazione della patch sono valutate come estremamente critiche.
Nelle scorse ore, però, il livello di allerta si è fatto ancor più elevato. In Rete, infatti, è stato pubblicato il codice PoC (proof-of-concept) in grado di sfruttare alcune tra le falle di sicurezza (sono quattro) risolte dall’aggiornamento MS11-100.
Innanzi tutto è bene ricordare che il bollettino Microsoft si rivolge a tutti coloro che utilizzano il .Net framework ed, in particolare, agli amministratori di siti web. Su tutti quei server che fanno uso di IIS e di una qualunque versione del .Net framework, l’aggiornamento MS11-100 dovrebbe essere immediatamente installato per evitare che la macchina sia esposta ad attacchi provenienti dalla Rete. Come spiega Microsoft, infatti, una delle falle più gravi potrebbe consentire ad un aggressore remoto di prendere possesso di un sito web ASP.NET. Il malintenzionato dovrebbe inizialmente creare un account sull’applicazione web ASP.NET; potrà quindi proseguire nell’intento solo conoscendo il nome di un account utente valido. Inviando al server web una richiesta modificata “ad arte” (contenente un byte nullo), il malintenzionato potrà effettuare il login utilizzando un account altrui, ad esempio un account utente dotato dei privilegi di amministratore.
Alcuni ricercatori hanno già fatto notare come, nel caso in cui la patch MS11-100 non risultasse installata sul server web, spesso divenga piuttosto semplice far breccia in alcuni tra i più popolari CMS ASP.NET (viene citato DotNetNuke), soprattutto se l’amministratore utilizzasse il nome utente di default.
L’altra vulnerabilità per la quale è stato rilasciato, da parte di sconosciuti, un codice PoC funzionante è quella che, da sé, può essere sfruttata per provocare un attacco DoS (Denial of Service). Questa lacuna di sicurezza, va sottolineato, non riguarda solo Microsoft ma interessa molti linguaggi di programmazione e diversi web server (nell’analisi di n-runs vengono citati, ad esempio, PHP, ASP.NET, Python, Ruby, Java,…). Facendo leva su questa lacuna, legata all’elaborazione dei parametri inviati attraverso il metodo POST, un aggressore può rendere praticamente irraggiungibile un sito web e, con buona probabilità, tutti i siti ospitati sul medesimo server web. Come evidenziato in diverse analisi, l’attacco potrebbe concretizzarsi inviando una lunga serie di parametri casuali al server evitando di specificare, per ciascuno di essi, un qualunque valore.
Il consiglio è quindi quello di aggiornarsi immediatamente provvedendo ad installare tempestivamente la patch MS11-100, prelevabile cliccando qui, da Windows Update o mediante gli altri strumenti offerti da Microsoft.