hit counter
Bollettino out-of-band MS08-067: no news, good news? - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Bollettino out-of-band MS08-067: no news, good news?

Bollettino out-of-band MS08-067: no news, good news?

  • Comments 5
  • Likes

Vorrei fare brevemente il punto a poco più di una settimana dal rilascio di questo bollettino straordinario MS08-067.

Intanto approfitto per riportare in questo post (a beneficio di chi non fosse iscritto alle notifiche di sicurezza inviate direttamente via email in inglese da Microsoft Corp.) il puntatore al Security Advisory emesso lo scorso lunedì notte "Microsoft Security Advisory (958963) - Exploit Code Published Affecting the Server Service": di fatto si segnalava che

  • si era a conoscenza di exploit pubblici in grado di poter usati per attacchi verso i sistemi Windows 2000, Windows XP, Windows Server 2003,
  • gli attacchi noti erano ancora limitati e circoscritti,
  • gli attacchi non avevano le caratteristiche di un worm, quindi non erano in grado di propagarsi automaticamente da un sistema all'altro

Al momento in cui vi scrivo la situazione è ancora quella, inalterata, e questo mi ha spinto a pormi la domanda del titolo: no news, good news?

Dal punto di vista delle aziende, in particolare per quelle in rincorsa per aggiornare tutti i loro sistemi, l'assenza di notizie di worm già in circolazione è sicuramente una good news, ossigeno puro, che permette di guadagnare ancora tempo prezioso e magari di tirare il fiato, rilassandosi un po' e dilatando le tempistiche di aggiornamento...

In realtà questa assenza di notizie può anche esser letta alla luce di come si è evoluto lo scenario di rischio in questi anni: gli attacchi eclatanti, scatenati dai worm su scala internazionale con il solo intento di paralizzare Internet e il maggior numero di aziende per fare solo danno, hanno lasciato via via il posto ad attacchi mirati e silenti, guidati da interessi economici, di spionaggio e terroristici, tesi a produrre profitto a vario titolo, senza alcun desiderio di visibilità pubblica. Questa quiete quindi potrebbe anche essere l'ennesima conferma di questa evoluzione: forse potremmo anche non vedere l'insorgere di un worm se la decisione fosse lasciata in mano a questi professionisti del crimine informatico, a loro non tornerebbe utile, anzi.

Probabilmente il worm uscirà comunque prima o poi perché è forte la tentazione da parte dei cosiddetti script kiddies (i cracker non professionisti) di approfittare di questa succosa vulnerabilità per fare un po' di danno (così non si vedeva da quattro anni a questa parte), e molti vorrebbero approfittarne per fare pratica e realizzare la propria botnet (tramite questa vulnerabilità, infettare quanti più sistemi possibile con trojan/zombie in grado di essere comandati a distanza...).

Ma più tempo passa e più, fortunatamente, aumentano i sistemi protetti dalla patch, e questo riduce l'impatto di possibili problemi a patto che, davvero, non si rallenti nel processo urgente di installazione!

Non abbassate la guardia, quindi, e procedete spediti, sia aggiornando tutti i vostri sistemi Windows, sia consigliando l'aggiornamento a tutti i vostri conoscenti, parenti e amici!

Altri post/risorse correlate:

    Share this post :
    Comments
    • PingBack from http://www.grabbernews.com/bollettino-out-of-band-ms08-067-no-news-good-news-37559.html

    • Come si temeva , si è giunti alla realizzazione di un worm che sfrutta la vulnerabilità corretta dal

    • Interrompo il silenzio blogging che mi sono imposto in queste festività per due motivi importanti. Il

    • Anche nella mia azienda nel mese di Dicembre il malware si è diffuso praticamente su quasi tutti i pc privi della patch di protezione.

      Per fortuna sono riuscito a rimuoverlo tramite Trojan Remover e tutto e ritornato a funzionare correttamente sino a giorno 31, quando su alcuni pc anche quelli protetti dalla patch MS08-067 ho trovato il firewall di windows disattivato e una porta tcp con un numero casuale, diverso da pc a pc, tra le eccezzioni.

      Anche il servizo windows updates è stato disattivato, e tutte le traduzioni dns verso microsoft e f-secure non funzionano più.

      Ho rimosso il malware sempre con Trojan Remover, me dopo la rimozione continua ad entrare.

      Su un pc ho installato Comodo Firewall e ho notato che oltre ad essere l'unico a non essere stato infettato, tra i log di Comodo mi segnala svariati tentativi di attacco sulla porta 445 provenienti da quasi tutti gli Ip dei pc della rete aziendale.

      Qualche suggerimento.

    • Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia.

    Your comment has been posted.   Close
    Thank you, your comment requires moderation so it may take a while to appear.   Close
    Leave a Comment