c.m.g
04-11-2008, 16:33
4 novembre 2008 alle 16.22 di netquik
http://www.tweakness.net/imgarchive/fallawin4.jpg
Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato isolato "in-the-wild"; lo hanno segnalato varie aziende di sicurezza e l'US-CERT (http://www.us-cert.gov/current/index.html#worm_exploiting_microsoft_ms08_067).
Una settimana fa, Microsoft aveva pubblicato il Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostrava l'esecuzione di codice sfruttando la vulnerabilità corretta dall'aggiornamento di protezione critico incluso in MS08-067. L'azienda aveva anche avvertito (http://www.tweakness.net/news/4794): "Sebbene non ci siano attacchi su vasta scala a partire da questo nuovo codice exploit pubblico, prevediamo che entro i prossimi giorni e settimane questo codice exploit sia utilizzato probabilmente da nuove versioni del malware sfruttabile per attacchi su vasta scala, ed eventualmente da worm auto-replicanti".
Nella giornata di ieri, l'azienda di sicurezza F-Secure ha ricevuto segnalazioni della diffusione di un worm capace di sfruttare la vulnerabilità in questione. Dal blog di F-Secure (http://www.f-secure.com/weblog/archives/00001526.html): "Abbiamo ricevuto le prime segnalazioni di un worm capace di sfruttare la vulnerabilità MS08-067 … il payload dell'exploit scarica un dropper che rileviamo come Trojan-Dropper.Win32.Agent.yhi. La componente rilasciata include un DDOS-bot kernel mode che attualmente ha una selezione di target cinesi nella sua configurazione". F-Secure identifica anche la componente worm come Exploit.Win32.MS08-067.g e la componente kernel come Rootkit.Win32.KernelBot.dg. Altri vendor antivirus hanno scelto differenti nomi per rilevare questa nuova minaccia: Exploit.Win32.MS08-067.g (Kaspersky Lab), Exploit:Win32/MS08067.gen!A (Microsoft), Mal/Generic-A (Sophos (http://www.sophos.com/security/blog/2008/11/1923.html)).
Secondo gli ultimi aggiornamenti pubblicati dal SANS Internet Storm Center (http://isc.sans.org/diary.html?storyid=5275), il worm sembra propagarsi sulla la rete locale tramite la porta 445.
Anche PrevX (tramite Marco Giuliani malware analyst dell'azienda) ha analizzato la nuova minaccia "worm". Giuliani scrive (http://www.pcalsicuro.com/main/2008/11/kernelbot-e-arrivato-il-worm-per-la-falla-ms08-067): "Era questione di tempo, un arco di tempo più o meno breve, per vedere un vero e proprio worm che sfruttasse la vulnerabilità MS08-067. In queste ore è stato isolato un nuovo malware, denominato KernelBot, di origine molto probabilmente asiatica. Il malware sfrutta la vulnerabilità della quale si parla spesso in questi giorni e alla quale avevo dedicato un articolo precedentemente. I primi sample di questo malware risalgono allo scorso 28 Ottobre. Il worm arriva sottoforma del file 6767.exe o, in alternativa, KernekDbg.exe". Un'analisi dettagliata è disponibile (http://www.pcalsicuro.com/main/2008/11/kernelbot-e-arrivato-il-worm-per-la-falla-ms08-067) nel blog post su PC al Sicuro.
Link per approfondimenti:
US-CERT (http://www.us-cert.gov/current/index.html#worm_exploiting_microsoft_ms08_067)
F-Secure Blog (http://www.f-secure.com/weblog/archives/00001526.html)
Analisi @ PC al Sicuro (http://www.pcalsicuro.com/main/2008/11/kernelbot-e-arrivato-il-worm-per-la-falla-ms08-067)
Fonti:varie via Tweakness (http://www.tweakness.net/news/4810)
http://www.tweakness.net/imgarchive/fallawin4.jpg
Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato isolato "in-the-wild"; lo hanno segnalato varie aziende di sicurezza e l'US-CERT (http://www.us-cert.gov/current/index.html#worm_exploiting_microsoft_ms08_067).
Una settimana fa, Microsoft aveva pubblicato il Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostrava l'esecuzione di codice sfruttando la vulnerabilità corretta dall'aggiornamento di protezione critico incluso in MS08-067. L'azienda aveva anche avvertito (http://www.tweakness.net/news/4794): "Sebbene non ci siano attacchi su vasta scala a partire da questo nuovo codice exploit pubblico, prevediamo che entro i prossimi giorni e settimane questo codice exploit sia utilizzato probabilmente da nuove versioni del malware sfruttabile per attacchi su vasta scala, ed eventualmente da worm auto-replicanti".
Nella giornata di ieri, l'azienda di sicurezza F-Secure ha ricevuto segnalazioni della diffusione di un worm capace di sfruttare la vulnerabilità in questione. Dal blog di F-Secure (http://www.f-secure.com/weblog/archives/00001526.html): "Abbiamo ricevuto le prime segnalazioni di un worm capace di sfruttare la vulnerabilità MS08-067 … il payload dell'exploit scarica un dropper che rileviamo come Trojan-Dropper.Win32.Agent.yhi. La componente rilasciata include un DDOS-bot kernel mode che attualmente ha una selezione di target cinesi nella sua configurazione". F-Secure identifica anche la componente worm come Exploit.Win32.MS08-067.g e la componente kernel come Rootkit.Win32.KernelBot.dg. Altri vendor antivirus hanno scelto differenti nomi per rilevare questa nuova minaccia: Exploit.Win32.MS08-067.g (Kaspersky Lab), Exploit:Win32/MS08067.gen!A (Microsoft), Mal/Generic-A (Sophos (http://www.sophos.com/security/blog/2008/11/1923.html)).
Secondo gli ultimi aggiornamenti pubblicati dal SANS Internet Storm Center (http://isc.sans.org/diary.html?storyid=5275), il worm sembra propagarsi sulla la rete locale tramite la porta 445.
Anche PrevX (tramite Marco Giuliani malware analyst dell'azienda) ha analizzato la nuova minaccia "worm". Giuliani scrive (http://www.pcalsicuro.com/main/2008/11/kernelbot-e-arrivato-il-worm-per-la-falla-ms08-067): "Era questione di tempo, un arco di tempo più o meno breve, per vedere un vero e proprio worm che sfruttasse la vulnerabilità MS08-067. In queste ore è stato isolato un nuovo malware, denominato KernelBot, di origine molto probabilmente asiatica. Il malware sfrutta la vulnerabilità della quale si parla spesso in questi giorni e alla quale avevo dedicato un articolo precedentemente. I primi sample di questo malware risalgono allo scorso 28 Ottobre. Il worm arriva sottoforma del file 6767.exe o, in alternativa, KernekDbg.exe". Un'analisi dettagliata è disponibile (http://www.pcalsicuro.com/main/2008/11/kernelbot-e-arrivato-il-worm-per-la-falla-ms08-067) nel blog post su PC al Sicuro.
Link per approfondimenti:
US-CERT (http://www.us-cert.gov/current/index.html#worm_exploiting_microsoft_ms08_067)
F-Secure Blog (http://www.f-secure.com/weblog/archives/00001526.html)
Analisi @ PC al Sicuro (http://www.pcalsicuro.com/main/2008/11/kernelbot-e-arrivato-il-worm-per-la-falla-ms08-067)
Fonti:varie via Tweakness (http://www.tweakness.net/news/4810)