venerdì 20 novembre 2009

Windows 7 paralizzabile da remoto: possibile? Sembra proprio di sì...


Il nuovo Windows 7 è nato da pochissimo e già ha fatto parlare di sè moltissimo, ma non solo per le migliorie apportare dopo Vista purtroppo. Recentemente è stata scoperta una nuova falla, che se Windows 7 fosse una nave, il suo capitano urlerebbe senza pensarci su due volte "Abbandonare la nave!". Fortunatamente Windows 7 non è una nave e, nel momento in cui viene scoperto un buco, viene trovato anche (solitamente...) il "tappo" con cui bloccarlo.

Stando al suo scopritore Laurent Gaffié: è possibile paralizzare Windows 7 (e anche alcune versioni di Windows Server 2008) semplicemente inducendo l'utente a visitare un sito Web appositamente confezionato. Niente schermo blu classico, ma un blocco completo: il computer cessa di rispondere ai comandi. E' quindi necessario riavviarlo, con conseguente perdita dei dati non salvati. Imbarazzante non poco per Bill Gates and friends.

Microsoft sta già lavorando all'aggiornamento per turare la falla, ma nel frattempo le dimostrazioni dell'estrema facilità con la quale si può sfruttare il difetto cominciano a circolare in Rete.

La prima dimostrazione, naturalmente, è quella dello scopritore, che l'11 novembre ha pubblicato poco responsabilmente tutto il codice Python da usare.

Come funziona la falla? E' abbastanza semplice. Il software Microsoft che in Windows 7 gestisce il protocollo SMB (Server Message Block), quello utilizzato normalmente nei computer Windows per la condivisione di file e stampanti, non gestisce adeguatamente eventuali incoerenze nei dati trasmessi nell'ambito di questa condivisione. Specificamente, Windows 7 si blocca completamente (va in loop infinito) se riceve l'header di un pacchetto di dati SMB che dichiara una lunghezza diversa da quella reale. E' sufficiente un singolo byte di differenza, secondo i test di PraetorianPrefect.com. Se succede, l'unica cosa che si può fare è premere il pulsante di spegnimento del computer e poi riavviare.

Un malintenzionato non deve fare altro che predisporre un server sul quale gira il codice pubblicato da Gaffié, lasciarlo in ascolto e indurre la vittima, tramite un qualunque espediente psicologico (mail allettante, invito in chat), a visitare una pagina Web contenente un link speciale che rimanda al server ostile. Ergo, per i meno esperti, non aprite email di strani mittenti di cui non avete mai sentito parlare ed anche strane email, perchè no, di amici e conoscenti di cui non aspettate nulla; se non siete sicuri, chiedete conferma prima di aprire il messaggio, scaricare allegati o cliccare sui link contenuti in esso (questa è una regola fondamentale per la sicurezza generale del proprio computer). Quando la vittima contatta la pagina Web, si attiva una connessione SMB che manda il pacchetto malformato a Windows 7, che si paralizza. Ci sono anche altri metodi (un comando dir \\indirizzo ip\risorsa condivisa fasulla dalla macchina della vittima), ma questo è probabilmente il più pernicioso.

Microsoft ha pubblicato un advisory in inglese, in cui raccomanda agli utenti Windows 7 di bloccare le porte TCP 139 e 445 al firewall e di bloccare ogni comunicazione SMB da e verso Internet. Di norma dovreste già essere configurati in questo modo (se avete dubbi, chiedete a un esperto fidato di controllare per voi), per cui la falla sarebbe sfruttabile solo dai vostri colleghi dispettosi.

L'advisory di Microsoft indica che Windows XP e Windows Vista non sono affetti da questa vulnerabilità e sottolinea che per ora non sono noti siti che la sfruttano e non è possibile sfruttarla per eseguire codice o prendere diversamente il controllo del computer della vittima: il peggio che vi può capitare, insomma, è trovarvi con il computer improvvisamente bloccato. Proprio come ai vecchi tempi.

Insomma, nuovo sistema operativo, vecchi problemi: la stessa solfa di sempre.

Nessun commento: