Da diversi giorni il recente aggiornamento di sicurezza MS10-015 , distribuito da Microsoft all’inizio della scorsa settimana, è finito nella lista nera delle patch per “aver messo fuori uso” certi sistemi con Windows XP. Il problema, discusso in questo thread del forum Microsoft Answers , è stato inizialmente imputato ad un bug dell’update, ma secondo le analisi di un ricercatore di Symantec, Mirceau Ciubotariu, in molti casi il crash è causato da un malware appartenente alla categoria dei rootkit.
L’aggiornamento incluso nel bollettino di sicurezza MS10-015 risolve alcune vulnerabilità “importanti” nel kernel di Windows. Alcuni utenti hanno segnalato come, al riavvio successivo all’applicazione della patch, Windows andasse in errore mostrando il famigerato blue screen of death (BSOD) e causando il riavvio del sistema (qualora il PC non venisse spento, entrerebbe in un ciclo infinito di riavvii). L’utente non è più in grado di accedere a Windows neppure in modalità provvisoria: l’unico modo per risolvere la situazione è avviare Windows dal DVD, lanciare la console di ripristino d’emergenza e disinstallare l’aggiornamento.
Secondo Ciubotariu, il problema si verifica principalmente – ma non esclusivamente – sui PC infetti dal rootkit Tidserv , che si annida nei driver a basso livello del kernel, come atapi.sys , per rendersi invisibile agli antivirus. Tidserv utilizza dei relative virtual addresse ( RVA ) che l’aggiornamento MS010-015 va a modificare: ciò fa sì, dopo l’installazione della patch, che il rootkit faccia riferimento ad un indirizzo non valido, causando un page fault e, di conseguenza, un BSOD.
Ciubotariu precisa che anche altri driver di basso livello potrebbero contenere al loro interno dei RVA, ma egli ritiene che al momento attuale la più comune causa del problema sia Tidserv.
Dal momento che questo rootkit va ad infettare driver fondamentali per il funzionamento del sistema come quello che gestisce gli hard disk e i drive ottici, Windows non può essere riavviato neppure in modalità provvisoria.
Symantec avvisa che disinstallare la patch di Microsoft non può essere considerata una soluzione a lungo termine, visto che il rootkit rimane al suo posto: l’azienda suggerisce pertanto di utilizzare la console di ripristino per sostituire il drive infetto con uno “sano”. Questa è però un’operazione consigliata esclusivamente agli utenti esperti.
Alessandro Del Rosso