Vulnerabilità Plug And Play: arrivano le prime vittime illustri

Vulnerabilità Plug And Play: arrivano le prime vittime illustri

Zotob, IRCBot e SDBot: ecco i malware che sfruttano il bug Plug And Play di Windows. Paradossalmente tra le vittime della disinformazione informatica ci sono la CNN ed il New York Times.

di pubblicata il , alle 13:37 nel canale Sicurezza
WindowsMicrosoft
 
É passato più di un anno dalla scoperta del worm Sasser, che colpì duro i sistemi operativi targati Windows attraverso una vulnerabilità del sistema operativo, ed ecco la comparsa di nuovi malware che si stanno diffondendo per mezzo di una nuova falla scoperta nei sistemi operativi targati Microsoft.

La curiosità è che questi malware hanno messo in crisi società quali CNN, ABC ed il New York Times, i quali hanno visto i propri pc equipaggiati con Windows 2000 spegnersi o riavviarsi tutti insieme.

Ma torniamo indietro e analizziamo cronologicamente tutti gli avvenimenti:

9 Agosto 2005

Microsoft nel bollettino MS05-039 identifica un problema critico nei sistemi operativi Windows 2000/XP/2003. Il componente sotto accusa stavolta è il Plug And Play (PnP), che permette l'identificazione automatica di componenti installati nel sistema. La possibilità di causare uno stack-based buffer overflow nel componente permette ad un attacker remoto di eseguire codice malevolo.
Microsoft rilascia la patch per il problema.

14 Agosto 2005

La falla, simile a quella dell'RPC dell'agosto 2003 e dell'LSASS del maggio 2004, ispira qualche virus writer che rilascia Zotob, il primo worm capace di auto diffondersi sfruttando questa falla.
Il worm, basato sul codice del worm Mytob, potrebbe utilizzare un exploit pubblicato il 10 agosto 2005 da un programmatore conosciuto con il nick di 'houseofdabus'.
La notizia positiva è che il worm, seppur pericoloso, non miete numerose vittime, poiché non infetta i pc che hanno la porta TCP 445 filtrata da un firewall (e visti i tempi di Blaster e Sasser molti utenti hanno rafforzato la sicurezza del proprio pc installando un firewall). Inoltre il worm non attacca i sistemi Windows XP con installato il Service Pack 2.
La notizia negativa è che a soli cinque giorni dal rilascio della patch è già in giro per la rete un worm che sfrutta la vulnerabilità, con la conseguenza che molti utenti non hanno ancora avuto il tempo materiale per poter aggiornare il sistema operativo, né i system admin ne hanno avuto per aggiornare i pc delle grandi reti di società.
Il worm contiene all'interno del proprio codice la scritta:

MSG to avs: the first av who detect this worm
will be the first killed in the next 24hours!!!

15 Agosto 2005

Quello che sembrava un caso isolato diventa invece l'inizio di una "guerra". A poche ore dalla scoperta di Zotob.A viene isolata una nuova variante del worm, Zotob.B. Poco più tardi verrà isolata una nuova variante, Zotob.C che sfrutterà oltre alla vulnerabilità PnP anche la vulnerabilità ASN.1 e si diffonde inoltre via e-mail.
Compaiono inoltre i primi IRCbot che sfruttano la vulnerabilità PnP.

16 Agosto 2005

Appaiono le prime vittime illustri: CNN, ABC ed il New York Times cadono sotto i colpi di Zotob e di qualche nuova variante RBot ancora non isolata. Il caso viene seguito dall'Internet Storm Center, FBI e dalla Microsoft.
Il worm, inseritosi nella rete interna delle società, miete vittime a causa dei sistemi operativi Windows 2000 non patchati.

17 Agosto 2005

Dopo un tour de force, basandoci sui dati forniti da F-Secure, sono 11 i samples differenti identificati che sfruttano la vulnerabilità PnP. Ci sono attualmente Zotob.A, Zotob.B, Zotob.C, RBot.ADB, SDBot.YN, CodBot, IRCBot.ES, IRCBot.ET, IRCBot.EX, Bozori.A, Bozori.B.

Sembra inoltre che si sia instaurata una guerra su due fronti, le famiglie IRCBot e Bozori che tentano di cancellare gli altri bot competitori.

Una "curiosa" situazione della quale gli utenti sono vittime.

Si raccomanda dunque di aggiornare il proprio software antivirus, scaricare la patch per il sistema operativo e installare un firewall nel sistema se ancora non lo avete fatto.

E, ancora una volta, voltando lo sguardo e guardando ciò che è successo con Blaster e Sasser, la "storia" ci insegna a non commettere gli stessi errori....bisogna solo avere l'orecchio attento e cercare di apprendere gli insegnamenti dati in passato.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

55 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
canislupus18 Agosto 2005, 13:42 #1
Beh l'importante è aggiornare sempre il pc e ovviamente usare la classica attenzione. Ovvio che se le persone cliccano su ogni cosa che si riceve senza pensare a quello che si fa, è inutile qualsiasi patch.
Per la cronaca io già ho patchato a suo tempo...
Secondo me a volte gli esperti di sicurezza di grandi società aspettano troppo a certificare le patch rilasciate da MS (provato sulla mia persona quando facevo il tecnico in una società che ha aspettato 1 anno per mettere il SP4 per windows 2000 !!!).
fantoibed18 Agosto 2005, 14:01 #2
Originariamente inviato da: canislupus
Beh l'importante è aggiornare sempre il pc e ovviamente usare la classica attenzione. Ovvio che se le persone cliccano su ogni cosa che si riceve senza pensare a quello che si fa, è inutile qualsiasi patch.
Per la cronaca io già ho patchato a suo tempo...
Secondo me a volte gli esperti di sicurezza di grandi società aspettano troppo a certificare le patch rilasciate da MS (provato sulla mia persona quando facevo il tecnico in una società che ha aspettato 1 anno per mettere il SP4 per windows 2000 !!!).


Concordo su tutto ma vorrei fare solo una precisazione. I worm come sasser, zotob, eccetera non necessitano che l'utente clicki alcunchè: si eseguono e si propagano exploitando servizi aperti e vulnerabili....

Sasser: http://securityresponse.symantec.co...asser.worm.html
Zotob.A: http://www.f-secure.com/v-descs/zotob_a.shtml
Runfox18 Agosto 2005, 14:14 #3
Guarda qui da noi, non è mai stato messo il SP4 infatti ieri sera è stato un disastro visto che il 90% dei pc ha windows 2000; e sto parlando di una delle più grandi banche d'Italia.
12pippopluto3418 Agosto 2005, 14:21 #4
Originariamente inviato da: Runfox
Guarda qui da noi, non è mai stato messo il SP4 infatti ieri sera è stato un disastro visto che il 90% dei pc ha windows 2000; e sto parlando di una delle più grandi banche d'Italia.

Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?
12pippopluto3418 Agosto 2005, 14:24 #5

Basta un firewall software?

CDS, ICF di XP-SP1 e' sufficiente a pararsi le ?
meridio18 Agosto 2005, 14:32 #6
Originariamente inviato da: 12pippopluto34
CDS, ICF di XP-SP1 e' sufficiente a pararsi le ?

chiedo la stessa cosa: è proprio necessario sp2? ho zone alarm come fw e ho installato tutte le principali patch compatibili in assenza di sp2.

cosa sono CDS e ICF?
DevilsAdvocate18 Agosto 2005, 14:35 #7
Originariamente inviato da: 12pippopluto34
Supponendo che davanti avete quantomeno un router, come diavolo e' potuto succedere?


Sapessi ancora quante ditte in Italia hanno un router il cui firewall e' configurato
malamente....
canislupus18 Agosto 2005, 14:38 #8
Hai perfettamente ragione fantoibed. E' anche vero però che la maggior parte dei virus (tranne i worm che sfruttano le falle del sistema) si diffondono proprio perchè le persone hanno una sfrenata voglia di cliccare su ok o fare un doppio clic di troppo.
Nella diffusione di questi worm la colpa cmq rimane del sysadmin che per esempio potrebbe contenere l'infezione disabilitando l'accesso ad alcune porte e soprattutto aggiornare i sistemi non protetti. In fondo se io ho aggiornato il sistema il giorno dopo che è stata scoperta la falla, non credo che un sysadmin abbia più difficoltà (tanto se devono patchare anche mille macchine lo fanno tramite rete con degli script... visto di persona).

@Runfox

Io lavoravo in una multinazionale farmaceutica grossa anche più della Bayer (tanto per farti capire). Beh adesso stanno pensando di migrare a windows xp e quindi pensa un po' te. Il problema è che magari non vogliono aggiornare il sistema operativo per paura di incompatibilità con sw proprietari. Sta di fatto che ci mettono mesi (quando non anni) per aggiornare tutto e poi puntulamente ad ogni virus si trovano con qualche migliaia di pc infetti (li ho dovuti togliere io a mano... )
themanto18 Agosto 2005, 14:40 #9
12pippopluto3418 Agosto 2005, 14:40 #10
Originariamente inviato da: meridio]chiedo la stessa cosa: è
AFAIK credo sia piu' che sufficiente.

Al limite vai qua:
http://scan.sygatetech.com/quickscan.html
e fatti una scansione delle porte TCP del PC; se la 445 e' blocked allora stai tranquillo.
La cosa migliore sarebbe se tutte le porte fossero blocked, ma questo dipende poi se sulla tua macchina hai attivi server web, ftp, ecc... che io non posso sapere.

Comunque attendiamo maggiori lumi da chi ne sa di piu'!

[QUOTE]
cosa sono CDS e ICF?


CDS = come da subject (del messaggio da me precedentemente scritto)

ICF = Internet Connection Firewall, ovvero il firewall software integrato in XP ed in XP-SP1 (il firewall di XP-SP2 invece si chiama Windows Firewall)

Tutto qui!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^