Gli exploit delle falle di Microsoft cominciamo ad essere disponibili su vasta scala sulla rete Internet. La società Internet Security Systems ha inziato a rilevare un gran numero di attacchi provenienti da varie zone portati a termine con exploit automatizzati. Il livello di pericolo AlertCon è stato così portato dal livello 1 al livello 2 (il massimo è 4).
Gli attacchi sfruttano gli errori dei sistemi Windows resi pubblici da Microsoft lo scorso 13 aprile e possono portare al pieno controllo del sistema aggredito non aggiornato. Anche il SANS Institute ha rilasciato una nota in cui si evidenzia la crescita di traffico anomalo verso server Web gestiti dall'Internet Information Services (IIS) di Microsoft.
Gli exploit segnalati da Internet Security Systems tuttoria circolanti sono tre, uno dei quali può portare ad eseguire codice nocivo sulla macchina aggredita mettendola così sotto il controllo dell'aggressore. A questi si aggiunga l'exploit sul protocollo SSL di cui abbiamo fornito notizie la scorsa settimana e che continua ad essere aggiornato e perfezionato.
Il codice più pericoloso influisce sulla vulnerabilità che coinvolge il Local Security Authority Service (LSAS). Il codice dell'exploit è stato messo a disposizione dal sito francese K-OTik.COM e, a differenza di un exploit rilasciato alcune settimane prima, permette l'esecuzione del codice nocivo da remoto.
Il secondo exploit disponibile in rete colpisce la vulnerabilità della libreria ASN.1 implementata nei programmi Microsoft. Attraverso questo codice è molto improbabile che si riesca ad ottenere il controllo della macchina da remoto.
Il terzo exploit attacca l'interfaccia Negotiate Security Software Provider (SPP) dei prodotti Windows. Anche in questo caso l'esecuzione di codice nocivo è altamente improbabile. L'exploit potrebbe invece causare facilmente un interruzione del servizio.
Il problemi principali di questi exploit è che possono essere utilizzati come base di partenza per scriverne degli altri molto più pericolosi e che potrebbero essere utilizzati per la creazione di worm ad alto impatto come nel caso di Blaster.
Un exploit per la Local Security Authority Service di Windows era stato infatti già divulgato nella prima metà di aprile. Questo primo exploit poteva agire solamente se utilizzato da un utente interno al sistema. Sono bastati dieci giorni per far circolare un altro exploit che, partendo dalle basi del primo, potesse agire anche da remoto ampliando a dismisura le possibilità di aggressione.
Solitamente gli exploit di questo genere sono il trampolino di lancio di worm: «Un exploit compare e un aggressore lo utilizza per compromettere alcuni server. Quando inzia a diventare meno utile lo converte in un Worm» ha dichiarato a Information Week Neel Mehta, della Internet Security Systems. Lo scenario lascia presagire un altro caso Blaster. In quel caso il worm fu divulgato dopo quasi due mesi dal rilascio degli aggiornamenti di sicurezza da parte di Microsoft e riuscì ugualmente ad infettare centinaia di migliaia di sistemi.
Gli exploit, naturalmente, hanno efficacia solamente sui computer non aggiornati mediante Windows Update o le patch di Microsoft.
