Windows: un bug ad alto rischio worm

Il ricordo dei worm MSBlast e Sasser torna nelle menti di chi ha vissuto nell'agosto 2003 e nel Maggio 2004 la rapida diffusione di due tra i worm che rimarranno nella storia dei virus informatici proprio per aver iniziato un nuovo capitolo della storia.

I due worm, per i pochi che non ricordano i fatti, sono stati creati a pochi giorni dalla scoperta di due pericolosissime falle in Microsoft Windows, sistemate poi da Microsoft con una patch. Le falle, identificate da Microsoft con i codici MS03-026 e MS04-011 hanno permesso ai worm di diffondersi in un lasso di tempo brevissimo in tutto il mondo, infettando le macchine senza firewall e senza ancora le patch installate. I danni dei due worm sono stati ingenti in tutto il mondo, piccole e grandi società colpite che, al ritorno dal weekend, si sono ritrovate con i pc fuori uso a causa dei continui riavvi.

Quello che ora viene raccontato come una storiella, una parentesi chiusa nella storia delle grandi minacce informatiche, potrebbe però riaccadere, proprio in questi giorni.

Per Microsoft Martedì è stato giorno di aggiornamenti, dodici patch che vanno a risolvere ben 23 vulnerabilità, alcune molto gravi. Tra di queste, una è quella che sta preoccupando molti team di ricerca di sicurezza e che ricorda molto da vicino le due vulnerabilità che hanno dato via ai worm sopracitati. La vulnerabilità, identificata dal bollettino Microsoft MS06-040 e considerata come critica, ha come vittima il servizio Server.

La vulnerabilità consiste in un buffer overflow che permette ad un attacker remoto di avere accesso al sistema senza nessun intervento dell'utente locale. La gravità del bug, già preoccupante, è accentuata dal fatto che un exploit per la vulnerabilità è stato reso pubblico ed aggiunto al progetto MetaSploit, un framework gratuito sviluppato per ricerche e test di sicurezza delle reti, di pubblico dominio.

Le previsioni sono tutt'altro che rosee: siamo al momento nel periodo più caldo, sebbene solitamente un worm che sfrutti una vulnerabilità viene rilasciato intorno alle 24 ore dopo che il bollettino viene rilasciato. I ricercatori delle società di sicurezza sono in preventivo allarme, in attesa di un nuovo malware che potrebbe essere rilasciato da un momento all'altro.

Tra i bollettini di sicurezza rilasciati c'è quello del Department of Homeland Security. Indicativo il fatto che il dipartimento per la sicurezza nazionale americana difficilmente rilascia bollettini di sicurezza relativi a possibili nuovi malware se non si corre un rischio più che preoccupante e, a giudicare da alcune storie diffuse da fonti non verificabili secondo le quali il blackout vissuto dagli Stati Uniti d'America nell'Agosto del 2003 sia stato causato anche dal worm MSBlast, il rischio potrebbe essere alto. Al momento, tuttavia, non si ha nessuna notizia di nuovi malware, sebbene siano tenuti sotto controllo tutti i possibili nodi caldi.

Si raccomanda tutti gli utenti di aggiornare il proprio sistema operativo attraverso il servizio di Windows Update o, in alternativa, di scaricare la patch manualmente da questo link. Inoltre è consigliabile, come sempre, l'utilizzo di un firewall per la connessione ad internet, poiché permette di filtrare il traffico da Internet verso il proprio pc, bloccando quindi a priori il possibile malware. Per le aziende invece è altamente consigliabile aggiornare immediatamente tutte le macchine, visto che un eventuale worm potrebbe diffondersi rapidamente attraverso la rete interna di pc. Basta infatti un pc infetto che si collega alla LAN di un'azienda per diffondere rapidamente l'eventuale worm.

Si raccomanda, infine, di tenere aggiornato il proprio software antivirus. La società di sicurezza eEye Digital Security ha rilasciato inoltre un tool gratuito per verificare se i pc sono affetti da questa vulnerabilità. Il tool è raggiungibile a questo indirizzo.

"Il problema risulta essere una ulteriore vulnerabilità scoperta nella famiglia Microsoft Windows. Ritengo che sia il caso di non sottovalutare il problema e di mettersi subito al riparo onde evitare problemi di conseguenza. Il Research Team di CA sta monitorando tuttora la situazione nel caso possano esserci ulteriori exploit/worm varianti che possano intaccare i pc degli utenti sfruttando sempre questa vulnerabilità. L'alert dichiarato da CA è piuttosto critico e per tutto questo week-end e la prossima settimana i ricercatori di CA staranno allerta 24 ore su 24" ha dichiarato ad Hardware Upgrade quest'oggi Rossano Ferraris, senior researcher e membro del WKSE di CA (Wordwide Knowledge Security Expert), un team composto da 17 persone in tutto il mondo adibito a particolari situazioni di emergenza in caso di problemi relativi alla sicurezza.

Aggiornamento: Domenica 13 Agosto 2006

È stato isolato il primo malware che sfrutta la vulnerabilità sopra citata. Il sample, che abbiamo intercettato per la prima volta qui questa mattina alle 5.02, è stato bloccato grazie alla tecnologia euristica, quindi proattivamente, dai seguenti antivirus:

Antivir
F-Prot
BitDefender
QuickHeal
Nod32
Norman
Panda

mentre dopo pochissimo tempo sono state aggiunte le firme virali a Kaspersky e F-Secure, la quale ha rilasciato per prima una analisi del malware.

Backdoor.Win32.IRCBot.st, questo il nome della backdoor che per prima ha utilizzato l'exploit per la vulnerabilità MS-06040. La backdoor, dopo essersi copiata all'interdno della directory di sistema di Windows, crea un servizio grazie al quale eseguirsi all'avvio del sistema. Subito dopo modifica le impostazioni del firewall di Windows per avere accesso ad Internet e si connette a due server IRC, dai quali poi resta in attesa di comandi. Per una dettagliata analisi è possibile leggere qui.

Si prospetta uno scenario leggermente differente dunque nella situazione attuale. Le vie possibili da seguire erano due: un unico worm, in stile MSBlast o Sasser, che si sarebbe diffuso a macchia d'olio ma sarebbe stato bloccato quasi immediatamente oppure delle backdoor che, silenziosamente, infettassero i pc per creare una immensa rete di computer zombie pronti al comando di qualche attacker, con obiettivi quali spam oppure attacchi DDoS su larga scala. Sembra dunque che la prima mossa sia stata fatta seguendo la seconda via, effettivamente più logica.