Sono trascorsi pochi giorni da quando la vulnerabilità del DNS Server di Windows è divenuta di dominio pubblico e i ricercatori di sicurezza hanno già individuato un worm capace di approfittare della debolezza. La nuova minaccia è una variante di Rinbot (o Nirbot), worm in grado di installare sui PC compromessi una backdoor, connettersi ad un server IRC e attendere comandi da remoto.
Panda Software spiega che Rinbot.Q genera degli indirizzi IP casuali sui quali effettua uno scanning delle porte di rete in cerca di tre note vulnerabilità di Windows, tra cui quella recente del DNS Server: se le trova, sfrutta la falle per copiare ed eseguire il proprio codice sul sistema remoto . Da notare che il malware cerca il servizio di gestione RPC del DNS Server, la cui porta viene assegnata dal sistema in modo dinamico, esclusivamente sulla porta 1025: ciò ne riduce drasticamente l’efficacia.
Una volta in memoria, il worm disattiva e cancella eventuali programmi di monitoraggio e auditing della rete , come Ethereal, e tenta di scaricare ed installare nel sistema altri malware. Rinbot.Q può diffondersi anche attraverso le unità di rete condivise.
“Gli utenti devono prestare particolare attenzione poiché fino a quando la falla nel sistema non avrà la sua patch, potranno apparire altri nuovi codici maligni per sfruttare questa vulnerabilità”, ha messo in guardia Luis Corrons, direttore tecnico dei Laboratori di Panda Software. “Non sarebbe affatto strano se nei prossimi giorni ci trovassimo di fronte ad un’ondata di altri worm, come quelli della famiglia Spamta. Molte volte questi attacchi massicci sono realizzati affinché le società di sicurezza e gli utenti si concentrino sul fenomeno. In questo modo, i cyber-criminali possono agire quasi indisturbati nella diffusione di nuovi codici maligni che sfruttano questa vulnerabilità”.
Dello stesso parere Jose Nazario, senior software and security engineer di Arbor Networks , secondo il quale i server DNS forniscono “un modo pulito ed efficiente” per attaccare simultaneamente un grande numero di client.
“Nel momento in cui i creatori di Rainbot si rendessero conto di avere sotto il proprio controllo un grande numero di server DNS, potrebbero modificare i record di queste macchine per creare falsi siti web attraverso cui distribuire exploit ai visitatori”, ha spiegato Nazario.
La vulnerabilità sfruttata da Rainbot.Q (denominato da Symantec Rainbot.BC) sfrutta una falla nell’interfaccia di gestione RPC (Remote Procedure Call) del servizio DNS Server di Windows 2000, 2003 e Small Business. Sebbene nelle prime due versioni di Windows il servizio non venga avviato di default, viene spesso utilizzato in congiunzione con la tecnologia Active Directory.