Vai ai contenuti | Vai alle rubriche

via Borgognona, 38 - 00187 Roma Tel 06.69.98.81 - Fax 06.67.86.815 - numero verde: 800 682682 - Part. IVA 00989551007

VAI AGLI ARTICOLI


UICIECHI.IT: NOVEMBRE-DICEMBRE 2008 - Numero 11-12.

Windows, un worm per la patch fuori programma.

Scritto da Guido Sintoni.

Nel trafficato Patch Tuesday dello scorso ottobre , il bollettino MS08-067 si è ritagliato un posto al sole - si fa per dire, ovviamente - in quanto distribuiva la prima correzione fuori programma firmata Microsoft dopo più di un anno di assenza. A pochi giorni di distanza, faceva la propria comparsa l’ ormai classico exploit che tentava di sfruttarlo e che, con il senno di poi, non ha arrecato grandi danni.

Allarme rientrato, quindi? Così pareva. Ma così, oggi come oggi, non parrebbe: nelle ultime settimane, aziende quali Symantec hanno registrato bruschi picchi da parte dei codici maligni che tentano di sfruttare il bug. Fino alla comparsa del worm Conficker.A , che ne rappresenta la traduzione pratica.

Chiamato da Symantec ‘Downandup’, il worm sfrutta la vulnerabilità del servizio Windows Server corretto dalla patch MS08-067 (e utilizzato da ogni versione di Windows per connettersi a file e print server in una rete) e, stando alle ultime di Big M , colpisce più l’utenza aziendale che i privati. “La maggior parte delle infezioni - si legge nel post a firma Ziv Mador, ricercatore di Microsoft Malware Protection Center - proviene dagli Stati Uniti, ma vi sono casi di attacco in altri paesi [tra cui l’Italia, ndR]”. Il worm evita di attaccare macchine ucraine, il che può rappresentare un buon indizio sulla provenienza del malware stesso. Oltre a Conficker.A, vi sono diversi botnet che tentano di rilevare e sfruttare la vulnerabilità di Windows Server con cavalli di Troia di vario tipo.

“E’ interessante notare - scrive Mador - che il worm corregga le Api vulnerabili, cosicché la macchina colpita non sia più attaccabile”. In altri termini, agli autori del malware preme che la macchina infetta non sia ulteriormente vulnerabile: questo aspetto sembra confermare la tesi di Microsoft sul bug, sfruttabile più in maniera mirata che su base indiscriminata. Ma Conficker.A non è certo un “malware buono”: l’analisi dettagliata di Microsoft evidenzia come il worm cancelli il punto di ripristino relativo all’infezione, per rendere impossibile il ritorno a una configurazione precedente all’infezione stessa.

Ad ogni modo, basta l’applicazione della patch per essere al sicuro: questo, almeno, sostiene Microsoft. Symantec, nel frattempo, ha innalzato il proprio indicatore sintetico di rischio ThreatCon ad “Elevato”: segno che per l’azienda capitanata da John Thompson ( almeno, fino al prossimo aprile ) il worm non è da prendere tanto alla leggera.

Guido Sintoni.