di  -  martedì 27 gennaio 2009

WormLe scorse due settimane hanno portato all’attenzione del pubblico un worm che ha fatto un gran parlare di sé per la sua incredibile velocità di diffusione: Conficker (o Downadup). Cerchiamo di fare un’analisi il più esaustiva possibile del problema.

Per diffondersi questo worm sfrutta una vulnerabilità nella gestione del protocollo RPC da parte del servizio Windows Server, che affligge tutti i sistemi operativi di casa Microsoft da Windows 2000 a Windows Server 2008 ed è dettagliata dal bollettino MS08-067.

Data la gravità di questa vulnerabilità, BigM aveva deciso di rilasciare, a fine ottobre, tre mesi fa, una patch al di fuori del classico ciclo di distribuzione dei bollettini, ma evidentemente sono in molti a non averne percepito l’importanza.

I primi esemplari del worm sono comparsi su Internet già a fine novembre, ma quello che si sta diffondendo su larga scala in questi giorni, Conficker.B, è una variante del ceppo iniziale molto più virulenta.

La società finlandese di sicurezza informatica F-Secure stima che martedì 13 i computer infetti fossero circa 2,4 milioni, mentre per la fine della giornata di venerdì 16 la cifra era arrivata a sfiorare addirittura i 9 milioni, per assestarsi a circa 10 milioni secondo le stime degli ultimi giorni, e avviandosi, forse, alla fase calante.

Questo lo rende il worm più virulento degli ultimi anni, pronto a competere con alcuni suoi illustri predecessori come Blaster (16 milioni), Sasser, Slammer, CodeRed e Nimda.

Nella classifica dei paesi più infetti l’Italia si aggiudica un dignitoso settimo posto con quasi 40.000 sistemi compromessi, mentre a capeggiare la lista vi sono Cina, Russia e Brasile, che da soli rappresentano circa il 40% del totale. Si tratta, non a caso, di paesi con una prevalenza di copie illegali di Windows, scarse nozioni di security e protagonisti nel crimine informatico.

Il successo del worm sta soprattutto nelle sue eccellenti capacità di diffusione. Una volta infettata una macchina, esso utilizza quattro principali vie per attaccare altri sistemi: cerca computer non adeguatamente patchati, cerca computer che abbiano aperte le condivisioni di rete, effettua degli attacchi di forza bruta con una word list per individuare password deboli in alcune risorse di rete o, infine, si inserisce in dispositivi rimovibili come le penne USB utilizzando poi il classico autorun.inf per eseguirsi.

In particolare, potrebbero essere proprio queste ultime tipologie di diffusione la chiave del successo di Conficker.B, d’altro canto Conficker.A, che si diffondeva unicamente sfruttando la vulnerabilità relativa al bollettino MS08-067, è in giro da almeno due mesi, ma non si è dimostrato così pervasivo come il suo successore.

Al momento sembra che i bersagli preferiti dal worm siano le ampie reti enterprise, facendo segnare per esse la peggiore infezione dal 2001, anno di Nimda. E infatti proprio di questo tipo sono i primi eclatanti casi di infezione: in panne la rete di un ospedale inglese e problemi anche per il Ministero della Difesa britannico.

Benché per ora il worm non sembri causare particolari danni alle macchine infette, esso è in grado di connettersi a domini difficilmente predicibili dove può aggiornarsi e mutare così comportamento (è questa sua caratteristica che ha permesso ad F-Secure di dedurre il numero di computer infetti); l’unico danno al momento è il blocco o la deviazione dell’accesso a certi siti web che potrebbero mettere a rischio la sua sopravvivenza, come quello della Microsoft, che distribuisce il Malicious Software Removal Tool, della Symantec, della McAfee, della Kaspersky, e così via.

A questo punto è tutt’altro che improbabile uno scenario dove i milioni di computer infetti si trasformino in computer zombie facenti parte di una gigantesca botnet in grado di far impallidire la già enorme botnet Ozdok, famosa per l’invio di spam, che può contare attualmente su circa 120.000 bots.

Per rendere più complessa la vita ad utenti e produttori di anti-virus, Conficker.B utilizza sofisticate tecniche di polimorfismo che consistono nel criptare e comprimere se stesso per mutare in continuazione e rendere difficilmente praticabile l’approccio signature-based della maggior parte degli anti-virus (approccio criticato ormai da parecchi anni).

Come se tutto questo ancora non bastasse, la società di sicurezza Qualys ha stimato, due settimane fa, come circa il 30% delle macchine Windows collegate ad Internet non fossero ancora state patchate con l’update MS08-067. La situazione oggi dovrebbe essere auspicabilmente migliorata.

Interessante, infine, la riflessione di Joe Stewart della SecureWorks: si potrebbe arrivare ad un punto di criticità tale da invogliare qualcuno a mettere in piedi un server camuffato da uno gestito dal creatore del worm ma che invece diffonde un codice di disinfezione a tutte le macchine infette che gli si connettono. Certo non senza difficoltà tecniche e fastidiose implicazioni legali.

I metodi per proteggersi da queste pandemie sono gli stessi che si ripetono da anni: aggiornare costantemente il proprio sistema con le ultime patch critiche, usare password robuste, disattivare i servizi inutilizzati e rinforzare i rimanenti.

Piccola riflessione conclusiva. Erano tre o quattro anni che non si vedeva un disastro simile. Perché? Gli utenti sono diventati più rispettosi dei principi base della sicurezza informatica? Difficile… E poi si crea nuova e impreparata utenza in continuazione.

Windows è diventato più sicuro? In parte. E’ indubbio che a Redmond negli ultimi anni dell’ottimo lavoro sia stato fatto (l’SDL di Microsoft potrebbe essere argomento di un post futuro). Ma non è facile sanitizzare milioni di righe di codice e cambiare mentalità in pochi anni, e le vulnerabilità sono sempre dietro l’angolo.

Allora gli attaccanti sono diventati meno bravi? Tutt’altro… Quello che io ritengo è che vi sia stata una maturazione degli attaccanti, che, da “hobbisti”, sono diventati veri e propri professionisti del crimine, e come tutti i criminali il loro intento è fare profitto, non più divertirsi o dimostrare le proprie abilità.

Negli ultimi anni hanno preferito fare meno azioni rumorose ed eclatanti come rilasciare worm a diffusione globale, i quali non fanno altro che accentuare la consapevolezza dell’insicurezza dei sistemi, hanno bensì preferito fare azioni più mirate e “chirurgiche”.

Detto questo, è ancora da vedere come si evolverà nelle prossime settimane il problema Conficker, molti sospettano che il worm non sarà più così dormiente nei sistemi infetti.
Proprio per evitare eventuali minacce di worm future si consiglia di installare il primo aggiornamento di sicurezza che Microsoft ha rilasciato nel 2009; esso risolve delle gravi falle, sfruttabili remotamente e senza bisogno di autenticazione, nella gestione del protocollo SMB: MS09-001.

Tutti i dettagli tecnici del worm sono reperibili a questo indirizzo.

10 Commenti »

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.

  • # 1
    Massimo
     scrive: 

    NOn mi è troppo chiaro .. Questa patch non si scarica anche sulle copie pirata?
    Altrimenti … Chi ha una copia pirata NON si scarica gli aggiornamenti? Sono cmq disponibili e lo sfondo nero che male fa?

  • # 2
    Angelus
     scrive: 

    non hai idea di quanta gente é fissata con il fatto che gli aggiornamenti incasinano e rallentano il pc..

  • # 3
    Fiber
     scrive: 

    Si dice che il malware si installa e diffonde indovinando la password di rete del servizio Netbios di windows condivisione files e stampanti?? ma la Microsoft ha patchato l’RPC call Bug di Netbios ad ottobre 2008 .. ma subito dopo nell’articolo si dice che questo malware ha continuato a diffondersi

    ma come ci si chiede ??

    se gli utenti usano anche in Firewall sia software che hardware nei router ADSL o Gateway/router di rete (il secondo x utenti fastweb) come si fa ad indovinare la password di condvisione files e stampanti di Windows per attaccarlo che il Firewall non fa nemmeno accedere alle porte TCP/Ip-UDP 139 & 445 Netbios ??

    Qua allora c’e’ gente che non ha applicato le patch di Microsoft di ottobre 2008 in tempo ( magari lo hanno fatto dopo 2 mesi etc) in piu’ e’ bastato un solo computer interno alla LAN che si infettasse perche’ scannerizzasse poi gli altri computer con le porte del firewall software aperte sulla Netbios a tutti gli IP dei computer in LAN e non solo ad IP riservati o meglo chiuse a tutti gli ip …ed ecco che hanno fatto il patratrac diventando poi computer zombie facenti parte della botnet col malware installato ( tra l’altro poi su XP dove sono tutti Administrator …e non come su Vista che c’e’ UAC e non si installa nulla senza controllo utente quindi a sua insaputa )

    L’altro modo di prender sta’ cacata di malware da parte degli utenti domestici e’ quella di stare in rete scaricando ed installando dal p2p installer .exe con malware incapsulato e con l’antivirus che nn lo rileva anche perche’ magari nin tenuto aggiornato c, in modo tale che il malware si diffonda senza nemmeno hackerare la passw della condivisione files e stampanti Netbios di WIn …cosi’ facendo si bypassa questa prima fase e si installa il malware direttamente sulla macchina assieme al crack con social engineering = raggiro utente …o altrimenti utenti che sono in rete con modem USB e non router ADSL, con quindi la macchina esposta direttamente in internet ed il Firewall software ( magari quello di Windows) con l’eccezione aperta in ingresso sulle porte di condivisione files e’ stampanti

    consigli da parte mia : stare in internet:router ADSL con Firewall Hardware SPI Dos & anti Ip-Spoofing ( Dlink o netgear da 40-50€) Avira Antivir come AV ( che e’ il miglipoe sia sul leggerezza che nelle detection di firme ed eurostica come da sito av-comparatives.org , tenere sempre patchato il sistema operativo da servizio aggiornamenti automatici mensili di M$ , usare Firefox 3 o Opera come browser al posto di IE ,tenere sempre aggiornati i plug ins del browser come Flash Player e Java Sun VM per eventuali vulnerabilita’ e non farsi raggirare da siti farlocchi o pop-up che si aprono nel browser ad installare finti antivirus che si spacciano di voler scannerizzare dai virus la macchina poiche’ sono essi stessi invece il malware che installate, cosi’ come i falsi codec o presunti aggiornamenti di Flash Player che vi propongono di scaricare ed installare alcuni siti prima di vedere video porno e non etc ( e’ malware anche questo ..) .Gli Antivirus e tutto il resto si scaricano solo dai siti ufficiali e non da pop-up che si aprono nel browser o siti di dubbia affidabilita’ cosi’ come i programmi da installare sul sistema operativo

  • # 4
    Alberto Trivero (Autore del post)
     scrive: 

    Per Massimo:
    Quando il Windows Genuine Advantage riconosce la presenza di una copia illegale del sistema operativo viene, tra le altre cose, disabilitato l’accesso a Windows Update, impedendo così il download degli aggiornamenti critici. E’ comunque ancora possibile scaricare manualmente i singoli aggiornamenti di sicurezza dal sito della MS, ma è un’operazione che difficilmente viene fatta. Questa è per esempio la pagina per il bollettino MS08-067: http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03

    Per Fiber:
    Il fatto che la Microsoft abbia rilasciato un aggiornamento da tre mesi non significa che tutti i suoi sistemi operativi in giro per il mondo siano stati patchati. In ogni caso, il meccanismo di diffusione del worm attraverso condivisioni aperte di una rete locale o protette da password non ha nulla a che vedere con la vulnerabilità nella gestione del protocollo RPC e il relativo bollettino MS08-067 di fine ottobre. Questo meccanismo si basa su un’autenticazione scarsa o addirittura assente su quelle risorse, e nessuna patch puoi correggere un simile problema. Se una rete aziendale utilizza SMB, le porte 139 e 445 non possono essere bloccate dai firewall, altrimenti nemmeno gli utenti legittimi non potrebbero accedervi. Ma questo permette al worm di effettuare un brute force attack verso quelle risorse al fine di trovare la password corretta e diffondersi a quell’altro sistema. E’ questo a rendere Conficker più pericoloso e di maggior successo di molti suoi predecessori. Le ultime versioni di Windows comunque permettono l’utilizzo del NetBIOS solo nelle reti locali e non più anche attraverso ad Internet, inoltre molti ISP lo bloccano a prescindere. Questo limita un po’ la diffusione del worm attraverso Internet ma non nelle grosse (o non grosse) reti enterprise che fanno uso di SMB, NetBIOS e co. Basta infatti, come dici tu, che un singolo PC della rete si infetti per mettere in pericolo anche gli altri.
    Il P2P non è il mezzo di diffusione prediletto per questo worm, in ogni caso nulla impedisce a qualcuno di scaricare un eseguibile infetto attraverso il file sharing infettandosi così a sua volta.

  • # 5
    Fiber
     scrive: 

    @ALberto Trivero

    ma adesso la pacth che sistema l’hack con brute force della passw di rete su Netbios e’ stata rilasciata da Microsoft o non e’ stata rilasciata??

    se e’ stata rilasciata e la gente non l’ha applicata la colpa e’ degli utenti o di chi gestisce il sistema no?

    PS: si puo’ configurare anche il firewall su Win in modo tale che sulla Netbios entrino solo determinati IP di computer in Lan e se quei computer che a loro volta tra di loro sono autorizzati con filtro IP sul Firewall per Netbios fossero stati tenuti aggiornati con le patch tutto sto’ casino nn sarebbe accaduto

    condividi??

    ciao

  • # 6
    Fiber
     scrive: 

    sempre per Alberto Trivero

    come ha fatto eventualmente un solo computer in LAN a prendere il Confliker sulla macchina perche’ poi la stessa macchina con conflicker installato cominciasse ad ackerare le passw di rete agli altri computer in Lan per poi ivi installarsi su tutti gli altri pc??

    ovvero questo conflicker un pc della Lan PER PRIMO lo deve aver preso per poi diffondersi agli altri dietro Lan ackerando la passw Netbios degli altri

    e tu sai che computer in Lan tra di loro stanno poi tutti dietro Router/Firewall/Gateway quindi dalla WAN non si accede alle Netbios dei computer in Lan interna

    :-):-)

  • # 7
    Alberto Trivero (Autore del post)
     scrive: 

    Per Fiber:
    Non esiste nessuna patch per il problema del brute force, né mai esisterà. Non è un problema dovuto ad un errore di programmazione, è una vulnerabilità intrinseca a quel protocollo e a quel sistema di autenticazione. Si potrebbe al massimo inserire un tetto massimo di tentativi per unità di tempo, ma dubito verrà mai fatto.
    Il firewall di Windows non è così customizzabile da permetterti di effettuare le operazioni di filtraggio che dici tu. Altri firewall commerciali (hardware o software) lo sono, ma non risolverebbero comunque il problema visto che gli attacchi di brute force partono da computer legittimi e vanno verso altri computer legittimi, assolutamente abilitati a comunicare tramite SMB. Se anche questi computer fossero stati aggiornati con tutte le patch, basterebbe che qualcuno inserisse una chiavetta USB infetta dentro uno di loro per innescare una reazione a catena.
    Il primo computer della LAN può essere stato infettato in vari modi, sfruttando la vulnerabilità RPC attraverso Internet (ipotizzando che avesse le porte necessarie aperte), con una chiavetta USB infetta, o con altre vie meno probabili ma non meno possibili. Se in teoria tutte le reti locali fossero nascoste dietro a dei router e firewall ben configurati ed evitassero di mostrare all’esterno la porta 135 o 445 allora il worm si sarebbe diffuso molto meno. Ma la realtà è un’altra, purtroppo.

  • # 8
    Fiber
     scrive: 

    @Trivero..
    il firewall di Win XP come quello di Vista puo’ filtrare gli Ip ..per fare un esempio controlla bene sul firewall di XP dove ci sono le eccezioni e seleziona :condivisione files e stampanti e poi fai modifica e poi clicchi su cambia ambito.. filtri gli Ip se vuoi

    PS: da una chiavetta USB collegata ad un pc si puo’ essere diffuso in una Lan ..ma sulla chiavetta USB come c’e’ finito?? e poi in una Lan non usano account Limitato?? il malware se fosse su di una chiavetta usb nn si installa anche in autoavvio nel pc a cui la chiavetta viene collegata se Win e’ configurato con account Limitato

    :-):-)

  • # 9
    ettore
     scrive: 

    *** ATTENZIONE! ***
    Per chi non lo sapesse è possibile aggiornare anche le versioni non originali di Windows tramite il programma AutoPatcher:
    http://www.autopatcher.com
    Tra l’altro permette di salvare gli aggiornamenti su una penna USB in modo da riutilizzarli su altri PC non magari collegati in rete e non doverli riscaricare se si formatta.

  • # 10
    zephyr83
     scrive: 

    che io sappia le copie non genuine di windows non si possono aggiornare dal sito windows update ma se si attivano gli aggionamenti dal centro sicurezza (si chiama così vero? non ricordo bene)le patch critiche vengono installate. e se nn sbaglio su hwupgrade in passato ho proprio letto una news che diceva così

Scrivi un commento!

Aggiungi il commento, oppure trackback dal tuo sito.

I commenti inseriti dai lettori di AppuntiDigitali non sono oggetto di moderazione preventiva, ma solo di eventuale filtro antispam. Qualora si ravvisi un contenuto non consono (offensivo o diffamatorio) si prega di contattare l'amministrazione di Appunti Digitali all'indirizzo info@appuntidigitali.it, specificando quale sia il commento in oggetto.