Come gli esperti di sicurezza temevano, negli scorsi giorni ha cominciato a propagarsi su Internet un worm capace di sfruttare una grave e recente vulnerabilità di sicurezza di Windows. Corretta da Microsoft lo scorso 23 ottobre con la pubblicazione del bollettino straordinario MS08-67 , tale vulnerabilità è contenuta nel servizio Server di Windows 2000, XP, Vista e Server 2003/2008.
Ad avvisare gli utenti del pericolo malware è la stessa Microsoft, che in questo post del Threat Research & Response Blog ha spiegato di aver registrato un'”ondata di attacchi” ad opera di un worm battezzato Conficker.A , worm basato su un exploit noto fin dalla scorsa settimana.
Secondo la società F-Secure , che chiama il codicillo segnalato da BigM Downadup.A , il nuovo worm “utilizza le risorse locali del computer o quelle di rete per effettuare copie di se stesso, e può includere codice o altri malware capaci di danneggiare sia il sistema che la rete”.
Microsoft ha spiegato che Conficker.A si sta diffondendo soprattutto nelle aziende , e in particolare in quelle con sede negli Stati Uniti: la segnalazione di infezioni sarebbero tuttavia giunte anche da Germania, Spagna, Italia ed alcuni paesi dell’Asia e dell’America Latina. Pare che il worm eviti di infettare i computer ucraini , forse un indizio della nazionalità del suo autore.
“È anche interessante notare come il worm corregga il bug dell’API in memoria, così che la macchina non sia più vulnerabile”, ha scritto l’esperto di sicurezza di Microsoft, Ziv Mador, nel proprio post. “L’autore del malware non si preoccupa della sicurezza dei computer: più semplicemente, vuole assicurarsi che altri malware non prendano il controllo del sistema”.
Mador afferma che il proprio team ha scoperto anche un bot capace di sfruttare la vulnerabilità MS08-067: si tratta dell’ IRCbot.BH , che come suggerisce il nome può essere controllato attraverso un server IRC.
Inutile dire che il big di Redmond raccomanda a tutti coloro che non l’avessero ancora fatto di applicare quanto prima la patch contenuta del bollettino MS08-067.
In questo post del Security Blog di Feliciano Intini, chief security advisor di Microsoft Italia, sono riportati una serie di link che permettono di approfondire la conoscenza del nuovo worm e dei relativi rischi per la sicurezza.
In un post precedente , Intini si augurava che nessuno avrebbe mai creato un worm capace di sfruttare la recente falla, profetizzandone però l’arrivo e commentando come segue: “Probabilmente il worm uscirà comunque prima o poi perché è forte la tentazione da parte dei cosiddetti script kiddies (i cracker non professionisti) di approfittare di questa succosa vulnerabilità per fare un po’ di danno (così non si vedeva da quattro anni a questa parte), e molti vorrebbero approfittarne per fare pratica e realizzare la propria botnet (tramite questa vulnerabilità, infettare quanti più sistemi possibile con trojan/zombie in grado di essere comandati a distanza…)”.
Se fosse per i professionisti del crimine informatico, sostiene Intini, worm simili non esisterebbero, perché le loro azioni sono sempre tese a “produrre profitto a vario titolo, senza alcun desiderio di visibilità pubblica”.