Roma – Il suo arrivo era stato previsto da settimane e ora gli esperti di sicurezza hanno davvero avvistato il primo worm in grado di sfruttare una delle recenti vulnerabilità di Windows, quella relativa al Local Security Authentication Server (LSASS), per rendere instabili sistemi con Windows 2000 o XP.
Il worm, battezzato Sasser , s’ispira al famigerato Blaster e, come quest’ultimo, scansiona a intervalli di tempo un certo numero di indirizzi IP alla ricerca di computer vulnerabili: dopo averne trovato uno, il worm crea una connessione remota al sistema, vi installa un server FTP e vi trasferisce una copia di se stesso.
Così com’è, questo worm non sembra destinato a fare molta strada. La società eEye Digital Security ha infatti spiegato che il codice del nuovo vermicello è scritto male e contiene un certo numero di bug che ne inficiano la funzionalità. Gli esperti avvertono tuttavia che la consapevolezza di utenti ed amministratori in materia di sicurezza non è ancora in grado di scongiurare un possibile acuirsi di questa epidemia, e ciò nonostante la patch capace di bloccare il worm sia disponibile ormai da tempo.
Secondo softwarehouse specializzate com F-Secure , in due giorni Sasser avrebbe già fatto molta strada in rete, grazie soprattutto alla sua capacità di diffondersi da computer vulnerabile a computer vulnerabile , senza bisogno di ricorrere alla replicazione via email, la più frequente metodologia di diffusione nei worm di questi anni.
Va detto, comunque, che Sasser può provocare solo poco più di qualche fastidio in quanto si limita a mandare in crash il sistema operativo e riavviarlo più volte. Al contrario di altri worm che in questo periodo hanno trovato modo di diffondersi, Sasser non mira a creare backdoor o vulnerabilità permanenti nei sistemi colpiti, una situazione che rende ancora più difficile secondo gli osservatori comprendere le motivazioni del virus writer che ha realizzato il codice claudicante di Sasser.
Anche per questo il SANS Institute afferma che, al momento, rappresenta una minaccia più grande la famiglia di bot Ago/Gao/Phatbot , capace di sfruttare le recenti falle nei componenti RPC/LSASS e RPC/DCOM di Windows. Questi programmi, seppure incapaci di riprodursi autonomamente, possono dare la possibilità ai cracker di prendere il pieno controllo di un sistema vulnerabile e utilizzarlo come testa di ponte per attacchi su vasta scala.
In ogni caso, gli esperti affermano di non voler sottovalutare il pericolo rappresentato da Sasser, soprattutto perché nei prossimi giorni potrebbero arrivarne nuove e più evolute versioni che, migliorando il codice del worm originale, potrebbero renderlo assai più insidioso.
Con la giornata di oggi, in cui dopo la pausa riprendono le attività moltissimi uffici, inoltre, alcuni esperti temono una ondata di Sasser che potrebbe a questo punto colpire anche in Italia .
Secondo le informazioni divulgate dalle case antivirus, Sasser genera traffico sulle porte TCP 445, 5554 e 9996 e si trasferisce da un sistema all’altro attraverso il file eseguibile avserve.exe . Per altre informazioni si rimanda all’ advisory pubblicato dall’Internet Storm Center.