Windows, un worm per la patch fuoriprogramma.

Scritto da Guido Sintoni.

Nel trafficato Patch Tuesday dello scorso ottobre , il bollettino MS08-067 si  ritagliato un posto al sole - si fa per dire, ovviamente - in quanto distribuiva la prima correzione fuori programma firmata Microsoft dopo pi di un anno di assenza. A pochi giorni di distanza, faceva la propria comparsa l' ormai classico exploit che tentava di sfruttarlo e che, con il senno di poi, non ha arrecato grandidanni.

Allarme rientrato, quindi? Cos pareva. Ma cos, oggi come oggi, non parrebbe: nelle ultime settimane, aziende quali Symantec hanno registrato bruschi picchi da parte dei codici maligni che tentano di sfruttare il bug. Fino alla comparsa del worm Conficker.A , che ne rappresenta la traduzione pratica.

Chiamato da Symantec 'Downandup', il worm sfrutta la vulnerabilit del servizio Windows Server corretto dalla patch MS08-067 (e utilizzato da ogni versione di Windows per connettersi a file e print server in una rete) e, stando alle ultime di Big M , colpisce pi l'utenza aziendale che i privati. "La maggior parte delle infezioni - si legge nel post a firma Ziv Mador, ricercatore di Microsoft Malware Protection Center - proviene dagli Stati Uniti, ma vi sono casi di attacco in altri paesi [tra cui l'Italia, ndR]". Il worm evita di attaccare macchine ucraine, il che pu rappresentare un buon indizio sulla provenienza del malware stesso. Oltre a Conficker.A, vi sono diversi botnet che tentano di rilevare e sfruttare la vulnerabilit di Windows Server con cavalli di Troia di variotipo.

"E' interessante notare - scrive Mador - che il worm corregga le Api vulnerabili, cosicch la macchina colpita non sia pi attaccabile". In altri termini, agli autori del malware preme che la macchina infetta non sia ulteriormente vulnerabile: questo aspetto sembra confermare la tesi di Microsoft sul bug, sfruttabile pi in maniera mirata che su base indiscriminata. Ma Conficker.A non  certo un "malware buono": l'analisi dettagliata di Microsoft evidenzia come il worm cancelli il punto di ripristino relativo all'infezione, per rendere impossibile il ritorno a una configurazione precedente all'infezionestessa.

Ad ogni modo, basta l'applicazione della patch per essere al sicuro: questo, almeno, sostiene Microsoft. Symantec, nel frattempo, ha innalzato il proprio indicatore sintetico di rischio ThreatCon ad "Elevato": segno che per l'azienda capitanata da John Thompson ( almeno, fino al prossimo aprile ) il worm non  da prendere tanto alla leggera.

Guido Sintoni.

