hit counter
Malware attraverso Windows Update ? Ma no ... - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Malware attraverso Windows Update ? Ma no ...

Malware attraverso Windows Update ? Ma no ...

  • Comments 10
  • Likes
 

Leggo via Downloadblog di un report di Symantec ripreso da Ars Technica sulla possibilità, cito i loro titoli, "di sfruttare Windows Update per scaricare malware sul sistema". Dopo aver letto i tre articoli a ritroso mi sono messo nei panni di un lettore non particolarmente esperto di Windows e mi sono  domandato: è vero ? E' tutto chiaro il rischio che mi hanno cercato di spiegare ? Ho imparato qualcosa di nuovo in ambito sicurezza ? Che percezione ne deriva della sicurezza di Windows, e di Windows Update in particolare ? Le risposte che mi sono dato non sono molto confortanti . . . e ho sentito il bisogno di aggiungere chiarezza.

Sintetizzando le informazioni che stanno circolando, il succo della notizia vera è che esistono malware che, DOPO aver compromesso il sistema,  utilizzano il servizio BITS di Windows per operare il download di file da Internet. Messa così non mi sembra una gran notizia di sicurezza ...

Facciamo insieme un breve esercizio di analisi della notizia per condividere qualche considerazione di sicurezza e non.

Il punto di partenza da analista di sicurezza Microsoft è questo: è una vulnerabilità di Windows? Ossia esistono di difetti di Windows che permettono di violare il sistema, acquisire privilegi o compromettere la sicurezza di dati ? NO, non c'è nessun bug, nessuna configurazione errata o abusata, che permetta di entrare al malware di cui si sta parlando: il sistema deve prima infettarsi con altri metodi, ed eseguire il malware in oggetto. 

Approfitto per  segnalarvi una risorsa web di Microsoft che diventerà un'importante portale di riferimento per la consultazione delle informazioni sul malware: il Microsoft Malware Protection Center; ora è in fase di preview pubblica: segnalate direttamente i vostri commenti e le feature che vorreste veder presenti nella versione 1.0 che vedrà la luce ai primi di luglio. Se cercate il nome del malware segnalato, Win32/Jowspry, trovate già la breve descrizione di alcune varianti.

Se quindi la situazione di partenza è che il malware sia già sul sistema si potrebbe dire: game over, sei già compromesso, quello che può fare il codice malware dipende dai privilegi con cui sta agendo sul tuo sistema. Cosa fa questo malware? In modo utilitaristico dice: perché devo appesantirmi e usare un mio meccanismo (client TFTP o simili...) per fare il download di file da Internet. Guarda, guarda: c'è BITS messo a disposizione dal sistema, che può fare il lavoro per me, approfittiamone, è free ! BITS è un servizio di trasferimento file usato da diversi componenti di Windows, applicativi Microsoft e applicativi non-Microsoft (come indicato anche in fondo all'articolo di Wikipedia): è tranquillamente documentato su MSDN proprio per abilitare applicazioni di terze parti ad usarlo! Quindi l'uso di BITS che il malware fa è legittimo, come lo farebbe una qualsiasi applicazione!

Cosa ha fatto meritare a questa situazione l'attenzione di Symantec ? L'associazione di idee, errata, che, essendo BITS il componente usato ANCHE da Windows Update (WU) per fare il download delle patch, potesse essere un modo per bypassare il firewall locale in quanto tipicamente WU loro lo citano come  componente trusted nelle policy del firewall.

  • Punto 1: Windows Update non c'entra niente: il malware chiama BITS e fa delle chiamate a suoi siti web ! Quindi se volete considerare solo WU trusted per il firewall (e non BITS), le connessioni che genera il malware non le beccate con questa policy e vengono bloccate (ma non potete bloccare BITS, vedi punto 3)!
  • Punto 2: le connessioni usate da WU sono in uscita (sono outbound per il download di file da internet) e nel Windows Firewall di Windows Vista non esistono nativamente policy per il traffico outbound a meno che non siano state create ad hoc (o usiate un firewall locale diverso), quindi non è vero che WU è un componente trusted in modo nativo per le policy del firewall!
  • Punto 3: se anche si creassero policy outbound per trustare il traffico di BITS (e non WU!) si bloccherebbe anche il traffico legittimo di altre applicazioni che lo usano per i loro file transfer, quindi non ha senso !

Forse ora si capirà meglio e si potrà giustificare se Microsoft ha criticato il report di Symantec... il motto che ho coniato per il mio blog è "Numquam postare, si non studere et cogitare"... mi sa che non tutti fanno così ...

Comments
  • Trackback: "Segnalo un interessante chiarimento - espresso in termini anche piuttosto semplici - riguardo una presunta vulnerabilità segnalata da Symantec relativa ad uno dei meccanismi (BITS) utilizzati da Windows Update per il trasferimento dei file, che ovviamente è stata ripresa e storpiata da più parti seminando il germe del terrore in chi non mastica pane e sicurezza tutti i giorni...."

  • Come sempre ottimo commento ad una news che ha sollevato tanto fumo ma non ci ha mostrato (fortunatamente) l'arrosto.

  • Feliciano,

    dovremmo aprire un sito in cui raccogliere tutti i bachi di 'sicurezza' che cominciano con la frase "loggandosi come amministratore" oppure "dopo aver compromesso il sistema" [:)]

    Ottimo riassunto.

  • Adoro i bug in cui per avere accesso all'account admin bisogna avere l'accesso all'account admin. Quasi quasi mi metto a postare un paio di bachi su linux che cominciano con le stesse frasi negli appositi blog :D

  • Uno degli sport più diffusi nel mondo informatico è quello di commentare notizie sulla sicurezza riportate

  • Terza puntata della rubrica Anti-FUD (per la prima e seconda puntata leggi qui e qui). Fatto vero (purtroppo): ad un collega pochi giorni fa hanno rubato la moto mentre era al lavoro da un cliente, in pieno giorno. Come era protetta la moto ? Dal quel

  • Vi segnalo queste tre risorse in ambito Anti-Malware. La prima, il Malware Removal Starter Kit , è una

  • ... il modo è: lascio la porta aperta! Starete sicuramente pensando: il caldo record di questi giorni

  • Credo capiti a tutti di ritrovarsi il giorno del proprio compleanno ( ieri ) a fare un breve consuntivo

  • Avrei voluto intitolare questo post con "La rivincita di Windows Update", ricordando il post

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment