È un copione che continua a ripetersi: Microsoft divulga i bollettini tecnici delle ultime vulnerabilità corrette e dopo qualche giorno è già pronto l'exploit in grado di sfruttarle. Era già successo qualcosa di simile nel caso dell'infezione del worm Blaster che l'estate scorsa infettò migliaia di computer in poche ore. In quel caso però passarono quasi due mesi dal bollettino alla diffusione del worm.
Nell'ultimo caso balzato alle cronache, ai creatori di exploit sono bastati uno o due giorni per creare il codice nocivo. Sono due infatti gli exploit che circolano in queste ore e che colpiscono quegli utenti, e sono moltissimi, che non hanno ancora applicato le patch. Gli exploit derivano direttamente dalle vulnerabilità divulgate da Microsoft il 13 aprile scorso
Il primo, SSL Bomb, è comparso online lo scorso 14 aprile e colpisce il bug di Windows nella gestione del protocollo SSL. Il problema è stato definito da Microsoft "Importante" e in Windows XP e Windows 2000 il bug provoca il blocco delle transizione sicure gestire dalla libreria SSL, mentre se eseguito su Windows Server 2003 provoca il riavvio del sistema. L'exploit, creato dalla società s21sec di San Sebastián (Spagna), è stato testato, come recita il commento al codice, su Internet Information Services 5.0 ed è divulgato come codice sorgente C.
Il secondo Exploit, Utility Manager Exploit, risale al 15 aprile e colpisce un bug dell'Utility Manager di Windows. Il problema, anch'esso "Importante", si verifica solamente in Windows 2000 e permette ad un utente che ha accesso al sistema di eseguire qualsiasi programma come amministratore pur non avendone i privilegi. Anche questo exploit viene divulgato come codice sorgente C ed è firmato dalla Application Security con sede a New York. L'autore è lo stesso che aveva segnalato il bug a Microsoft.
Entrambi gli exploit non mettono in gioco elementi critici del sistema e non possono creare danni "di massa" come quelli che riuscì a mettere in atto Blaster. Tuttavia è la tendenza che conta: subito dopo il rilascio di una vulnerabilità, gli autori di exploit si mettono al lavoro e attraverso i documenti tecnici disponibili in rete creano, in pochi giorni, un software in grado di sfruttare gli errori.
La stessa Microsoft condannò questa pratica. A fine febbraio David Aucsmith, il capo del settore sicurezza di Microsoft, sottolineò come «non abbiamo avuto notizia di un exploit diffuso prima che fosse nota la patch» e aggiunse che sono molti quelli che «esaminano il codice della patch ('reverse engineer') per scrivere il codice dell'exploit».
Aucsmith parlò dopo la comparsa di MS04-007-dos.c, un exploit per il Buffer Overflow nella libreria ASN.1 di Windows. Anche allora l'exploit, che Microsoft considerava di difficile realizzazione, fu divulgato pochi giorni dopo l'avviso del bollettino di sicurezza di Febbraio.
L'unica difesa contro i "flash-exploit" è quella di aggiornare immediatamente il proprio sistema evitando così di ritrovarsi già compromessi. Anche per questo in molti hanno criticato la lentezza con cui il sito di Windows Update ha permesso di aggiornare i propri sistemi dopo il rilascio, martedì scorso, di 20 patch. In quell'occasione il sito di Windows Update arrivò a servire due milioni di persone in un'ora, inviando dati per 50 GByte al secondo e provocando un prevedibile intasamento. Sarebbe bastato, hanno aggiunto in molti, rilasciare le patch un po' per volta con razionalità.