A fine Ottobre scorso, Microsoft era stata costretta a rilasciare una patch di sicurezza per Windows all’infuori del giorno vocato al rilascio di questi aggiornamenti (il secondo martedì del mese). La patch MS08-067 si occupa infatti di sanare una falla di sicurezza legata alla gestione delle richieste RCP (Remote Procedure Call) di Windows. Un problema molto simile a quello che in passato è stato sfruttato dai worm Blaster (ved. questi articoli) e Sasser (ved. questo materiale) per infettare rapidamente milioni di sistemi in tutto il mondo.
Come conferma Feliciano Intini di Microsoft Italia, si starebbe registrando una crescente diffusione del worm Conficker tra le aziende del nostro Paese. Conficker – ne è stata individuata una variante a fine anno – fa leva sulla mancata applicazione della patch MS08-067 per replicarsi e tenta addirittura di forzare le password utilizzate per proteggere account di tipo amministrativo. L’utilizzo di “dictionary attack” che mirano a scoprire le password deboli impiegate sui sistemi dell’azienda, sono responsabili di congestioni di rete e di “DoS verso i sistemi di autenticazione che utilizzano l’account lockout, ossia il blocco dell’utenza dopo un certo numero di password errate“, come spiega Intini.