Nei giorni immediatamente successivi alla pubblicazione dei Bollettini di Sicurezza Microsoft MS04-011, MS04-012, MS04-013 e MS04-014 abbiamo tenuto il fiato sospeso. Mai prima di allora erano state pubblicate contemporaneamente tante vulnerabilità di tipo grave che coprissero un così ampio spettro di sistemi operativi e applicativi. Questo è dovuto in parte alla nuova politica di Microsoft di rilasciare praticamente solamente una volta al mese advisory e patch, per i sistemisti si traduce in un grande lavoro di fixing da fare in tempi molto ristretti. Benché le condizioni per un attacco da worm fossero ottimali, il malware circolante che ne è scaturito “Sasser” (nelle sue versioni conosciute al momento della stesura di questo articolo – n.d.a.) non è stato fortunatamente scritto in maniera da sfruttare al meglio le possibilità a disposizione dei programmatori.Il worm per propagarsi utilizza la porta TCP/445 e sfrutta un buffer overflow; apre quindi una shell DOS sulla porta TCP/9996 e da qui lancia dei comandi per connettersi indietro alla macchina che lo aveva infettato per scaricare una copia del binario. Il procedimento è troppo macchinoso per un funzionamento ideale.Una delle più temute fonti di pericolo è però rappresentata dalla vulnerabilità SSL-PCT1-Buffer Overflow. Ad esserne afflitta è una libreria SSL che viene invocata da tutti i programmi (ad esempio IIS, Exchange, SQL Server, Active Directory) se sono configurati per instaurare una connessione SSL. Dato il grande uso che di connessioni SSL si fa per esempio in occasione di scambio di dati finanziari e dato il numero di applicazioni che sfruttano questa libreria, i pirati informatici e soprattutto le spie industriali hanno alte possibilità di avere successo nei loro attacchi e di mettere alle corde le loro vittime.E’ da segnalare da queste colonne anche il caso della vulnerabilità ASN.1. Nel marzo scorso era già stata rilevata una vulnerabilità su questa stessa libreria (http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx) che poteva essere fatta scattare tramite alcune porte “comuni” come TCP/25, TCP/80 e TCP/445. Era stata contestualmente pubblicata la corrispondente patch, ma la macchina così fixata risulta ancora vulnerabile e ancora sulla stessa libreria, sempre che non si installi la nuova patch riportata nel bollettino MS04-011.Questi ultimi problemi di sicurezza di cui abbiamo parlato colpiscono le librerie interne del sistema operativo, sono quindi più accessibili di quelle che colpiscono una singola applicazione.