Vupen Security,
nota azienda impegnata nella sicurezza informatica, ha recentemente segnalato l’ennesima falla nei sistemi operativi Windows:
“Microsoft Windows SMB “mrxsmb.sys” Remote Heap Overflow Vulnerability”
Questa volta si tratta di una falla di sicurezza in un driver che si occupa di processare richieste per il protocollo Server Message Block , usato da Windows per la comunicazione di rete
Si tratta del file “mrxsmb.sys” e questa è la descrizione tecnica fornita da VUPEN Security:
“Una vulnerabilità è stata identificata in Microsoft Windows, che potrebbe essere sfruttata da un attaccante remoto o utenti malintenzionati per causare un denial of service o prendere il controllo completo di un sistema vulnerabile. Questo problema è causato da un errore di heap overflow nella funzione “BowserWriteErrorLogEntry ()” all’interno di Windows NT SMB Minirdr driver “mrxsmb.sys” durante l’elaborazione di richieste malformati Browser Election, che potrebbe essere sfruttato da aggressori remoti non autenticati o utenti locali senza privilegi per causare un crash del sistema interessato o eseguire codice arbitrario con privilegi elevati”
VUPEN ha confermato questa vulnerabilità in Windows Server 2003 SP2 e Microsoft Windows XP SP3,ma non è da escludere la presenza in altri sistemi operativi Windows
.. e alla Microsoft?
A Redmond conoscono bene il problema, ma nonostante il codice exploit sia già in rete , non hanno intenzione di rilasciare correzioni d’urgenza, e anzi, minimizzano sulla pericolosità della falla:
“Abbiamo riprodotto questa vulnerabilità e analizzato i risultati derivanti dalla corruzione della memoria. Basandoci sulle nostre prime indagini questa vulnerabilità non può essere sfruttata per eseguire codice remoto su piattaforme a 32 bit” ( Jerry Bryant, group manager per la comunicazione del Microsoft Security Response Center )
Secondo gli studi effettuati dalla Microsoft, perché la vulnerabilità sia pericolosa occorre che sia “.. mappato un address space consecutivo di circa 4GB per permette l’esecuzione di codice sui sistemi a 32 bit, oppure 8 GB sui sistemi a 64 bit”
Per questo motivo l’azienda esclude che la vulnerabilità possa essere usata per l’esecuzione di codice e che al massimo possa essere sfruttata solo per attacchi Dos (Denial of Service), ad ogni modo l’unica soluzione ad oggi disponibile per difendersi è quella di bloccare o filtrare le porte UDP e TCP 138, 139 e 445