hit counter
Considerazioni per un efficace contenimento dell'infezione Conficker.B - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Considerazioni per un efficace contenimento dell'infezione Conficker.B

Considerazioni per un efficace contenimento dell'infezione Conficker.B

  • Comments 22
  • Likes

Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia. Anche dal nostro osservatorio privilegiato, che ha la possibilità di seguire tutti i maggiori grandi clienti italiani, devo confermarvi che si osserva un aumento quotidiano del numero di aziende interessate da questa problematica (anche se mediamente in modo non grave). Anche se vi ho già riportato nei post precedenti i link alle informazioni tecniche di dettaglio per poter procedere al rilevamento e alla rimozione di Conficker.B (li trovate riepilogati in basso), credo sia utile e opportuno sottolineare alcune caratteristiche di questa infezione che non sembra siano state ben comprese: spero che queste considerazioni possano aiutarvi nelle operazioni di contenimento e bonifica di questo malware, che si sta rivelando davvero ostico da rimuovere nello scenario aziendale.

Aggiornamento del 21/01/2009: potreste essere interessati anche ad alcune considerazioni non strettamente tecniche su questa infezione nel mio post su MClips appena pubblicato:

Worm Conficker.B: forse non tutto il male viene per nuocere

Intanto per cominciare è opportuno che metta bene in evidenza un recente articolo della Microsoft Knowledge Base che elenca tutte le indicazioni operative utili alla rimozione di Conficker.B:

KB962007: Avviso relativo al virus worm Win32/Conficker.B (versione italiana) (versione inglese)

Una immagine vale più di tante parole, prendo in prestito quella del MMPC che è quasi completa (ora vi spiego):

Conficker infection diagram 

Come si può osservare da questo diagramma, il worm utilizza diverse modalità per propagarsi, ed un PC può essere infettato se

  1. è sprovvisto di patch MS08-067 (958644)
  2. ha delle share aperte in scrittura
  3. ha delle utenze locali con password deboli
  4. con la funzionalità Autorun attiva, viene connesso a dispositivi rimovibili (chiavette USB, hard disk esterni) preventivamente infettati

Un'altro importante veicolo di propagazione non bene evidenziato dal diagramma è il seguente

  • 5. il worm utilizza le credenziali dell'utente loggato sul sistema infettato per tentare di propagarsi accedendo alla share di sistema ADMIN$ del sistema che intende infettare: quindi, per esempio, se si infetta un sistema su cui è loggato un Domain Administrator, questo sistema è in grado di infettare tutti i sistemi che fanno parte dello stesso dominio. Questo veicolo è quello che probabilmente giustifica il maggior impatto di questa infezione in ambito aziendale rispetto agli utenti finali.

Quindi il primo passo per poter operare un contenimento efficace è avere chiaro che i vettori di infezione per Conficker.B sono i 5 che ho elencato (per questa specifica variante B, al momento in cui vi scrivo) e non è solo la vulnerabilità CVE-2008-4250 corretta dal bollettino MS08-067.

Questo dovrebbe aiutarvi a rispondere alla domanda frequente: è possibile ritrovarsi di nuovo infettati se ho già messo la patch MS08-067? Certo che è possibile, poiché vi sono altri 4 modi per essere infettati.

Di fronte a questo scenario si comprenderà meglio la difficoltà di rimozione totale di questo malware nello scenario aziendale: teoricamente, finché sussiste anche solo UNO dei sistemi che sia infetto e il resto dei sistemi aziendali non sia stato rinforzato in modo da bloccare tutte le 5 modalità per essere infettati, si possono innescare delle dinamiche di infezione ricorsive difficili da controllare e tali da far perdere letteralmente la bussola.

Quindi il modo migliore di contenere questa infezione è quello di impostare un automatismo che permetta ciclicamente di rilevare e rimuovere completamente il worm se presente, fino a quando non si riescano a portare TUTTI i sistemi in uno stato sicuro, equivalente a chiudere tutte le 5 modalità di infezione. Le indicazioni operative che vi vengono fornite dagli articoli indicati in basso hanno proprio lo scopo di darvi un metodo per raggiungere questo obiettivo.

E l'antivirus, mi domanderete, non può aiutare a impedire l'infezione? Certo, l'antivirus dovrebbe essere in grado di bloccare il tentativo di infezione: il condizionale però è d'obbligo, poiché nei giorni scorsi non tutti i vendor antivirus sono stati in grado di produrre delle firme completamente efficaci nel rilevamento e rimozione di Conficker.B. Questo introduce una ulteriore variabile di incertezza che va risolta per essere sicuri di aver successo nell'opera di bonifica: bisogna esser certi che il software antivirus in vostro possesso sia davvero efficace. Quelli Microsoft hanno finora dimostrato di esserlo e sono stati questa volta i primi a produrre sia le firme che il tool di rimozione (MSRT).

Utilizzerò questo post per aggiornarvi con i diversi consigli utili per il contenimento e la bonifica da infezione Conficker.B.

Aggiornamento del 21/01/2009: i clienti che fossero in qualche modo di fronte all'impossibilità di mettere la patch MS08-067 (per esempio perché ancora fermi su versioni di Windows ormai fuori supporto, come Windows XP SP1) ricordino che hanno a disposizione l'impiego dei Workarounds elencati nel bollettino sotto il paragrafo “Server Service Vulnerability - CVE-2008-4250” per supplire all'assenza (si spera temporanea) della patch.

Aggiornamento del 23/01/2009: Nuovo post riepilogativo da parte del MMPC con altre risorse di approfondimento:

MMPC: Centralized Information About The Conficker Worm

Aggiornamento dell' 8/02/2009:  Nuove pagine riepilogative su Microsoft.com che consolidano le diverse informazioni utili sull'argomento, e che verranno aggiornate in caso di novità:

per gli utenti finali: Protect yourself from the Conficker computer worm

per i professionisti IT: Protect Your Network from Conficker

Aggiornamento del 13/02/2009:  Microsoft lancia un'offensiva organizzata per contrastare l'infezione Conficker e individuarne gli autori:

Microsoft crea una nuova alleanza e dichiara guerra a Conficker

Aggiornamento del 26/02/2009: Prendete visione dell'advisory pubblicato sulla correzione alla funzionalità di Windows Autorun e delle informazioni sulla nuova variante Conficker.C

Security Advisory su Windows Autorun

A proposito della nuova variante Conficker.C (anche detta Conficker.B++) 

Altri post/risorse correlate:

  • Scansione antimalware gratuita online su http://safety.live.com
  • Malicious Software Removal Tool (MSRT) che rimuove anche la famiglia di malware Conficker
  • Per gli utenti pù tecnici: Protect Your Network from Conficker
  • Per gli utenti finali: Protect yourself from the Conficker computer worm
  • Conficker.C (anche detta Conficker.B++):

    Conficker.B:

    Conficker.A:

    Bollettino MS08-067:

    Share this post :
    Comments
    • PingBack from http://www.villaggiodigitale.it/sito/?p=599

    • PingBack from http://blogs.dotnethell.it/vincent/Considerazioni-per-un-efficace-contenimento-dellinfezione-Conficker.B.__14857.aspx

    • Ritrovarmi a commentare una importante infezione come questa a cinque anni di distanza dall'ultimo serio

    • Sembra che anche Windows 7 possa essere interessato dal worm, proprio tramite la funzione Autorun di chiavette USB infette, come segnalato da F-Secure a questo link: http://www.f-secure.com/weblog/archives/00001586.html

    • Feliciano grazie per il post molto esauriente su questo worm. Sarà sicuramente utile a tutti. Speriamo che i soliti zeloti anti-microsoft non ti facciano la guerra come al solito.

      Ovviamente a mia volta ho fatto un post di riferimento al tuo. Mi sembra un utile servizio.

      Ciao e grazie ancora

    • Generalmente non vengo considerato un sostenitore di Microsoft, visto che da qualche anno non sono più un utente di alcuni prodotti e mi occupo del marketing di OpenOffice.org, ma leggo il blog di Feliciano Intini con grande attenzione perché è talmente competente sui problemi di sicurezza e ha capacità di divulgazione tali da risultare un piacere per un appassionato di PC che non conosce a fondo la tecnologia come il sottoscritto. Fare la concorrenza a Microsoft è un bene per il mercato e per gli utenti (ok, ne convengo, un po' meno per Microsoft). Gli stupidi abbondano su entrambi i fronti, evitiamo di punzecchiarli perché la loro presenza è comunque dannosa per tutti.

    • @grazianomar: grazie della segnalazione, più precisamente direi che la modalità che il worm usa per tentare di ingannare l'utente rispetto all'esecuzione di un contenuto su un dispositivo esterno si realizza anche su Windows 7.

      @Roberto e Italo: vi ringrazio di cuore, i vostri complimenti sono un incoraggiamento incredibile e davvero speciale!

    • Voglio ribadirti nuovamente il mio apprezzamento al tuo blog, che in questi giorni difficili mi è stato di ottimo aiuto nel rimuovere definitivamente il virus in questione nell’azienda in cui lavoro.

      Vorrei, comunque, esporti alcune mie paure.

      Analizzando attentamente la tipologia di questo virus, e in particolare il metodo di autopropagazione che come ben sai è molto diversificato è aggressivo, non escudo che nei prossimi giorni inizino a girare in rete varianti simili, o peggio ancora, più raffinate nel codice.

      Mi chiedo se Microsoft, in riferimento al fatto che il Virus sia in grado di sfruttare le credenziali di accesso dell’utente loggato al sistema infetto per autopropagarsi sugli altri pc della rete, stia pensando a qualche forma di Patch capace di impedire che ciò accada.

      In tutti questi hanni ho eseguito centinai di migliaia di volte l’accesso come administrator su pc infetti per eseguire con pieni poteri le varie procedure di manutenzione e/o rimozione, e mai mi è capitato una cosa simile.

      Spero che Microsoft abbia già iniziato a valutare il problema, perché sinceramente, sarebbe fastidioso non poter più loggarsi sui pc come administrator senza prima averli scollegati dalla rete.

    • Buona parte dei consigli dati era già stata applicata tempo addietro, almeno in buona parte dei clienti gestiti. Nonostante tutto Conficker è scritto molto bene e sa cosa attaccare a "colpo quasi sicuro", davvero un gran lavoro in background.

      Detto questo, grazie a post molto approfonditi ed alla collaborazione di case AV tutto sommato ora la situazione pare essersi stabilizzata nonostante l'infezione continui a prendere piede... erano anni che non ci si trovava davanti ad un evento simile! :)

      Grazie della preziosa presenza e "cronaca" Feliciano.

      Buon fine settimana.

    • Considerando tutto il clamore che sta guadagnando la diffusione di Conficker , quale miglior momento

    • @Gioxx: anche la vostra opera di rilancio di queste informazioni è un servizio preziosissimo per i clienti, grazie a voi!

      @Massimone73: grazie. Riguardo alla tua domanda dubito che si possa pensare ad una patch nel senso in cui l'hai indicata: proprio in virtù della possibile e probabile mutazione di tale malware qualsiasi "patch" che cerchi di bloccare l'uso apparentemente legittimo delle risorse di sistema solo in base a chi le richiede avrebbe bisogno di evolvere assieme alle varianti... purtroppo non molto fattibile.

    • Capisco benissimo che non è possibile risolvere il problema attraverso una semplici patch, penso comunque che un sistema stile UAC possa essere introdotto anche nel caso in cui una qualsiasi applicazione effettui operazioni di accesso alle condivisioni di rete.

      O meglio ancora si potrebbe potenziare il firewall di windows per bloccare in modo mirato i comportamenti tipici di questi malware.

      Tu che ne dici?

    • @massimone73: scusa il ritardo, ho un po' di arretrato nel rispondere ai commenti e alle mail ricevute via blog. :-(

      Le tue considerazioni sono ragionevoli, il problema è che poi la realizzazione pratica di alcune idee devono fare i conti con tanti aspetti: vedi appunto l'esempio dell'UAC che tu stesso hai citato, un' ottima idea, eppure tanto contrastata nella sua prima applicazione pratica in Windows Vista.

    • Come anticipato lo scorso venerdì, questa emissione di sicurezza di febbraio 2009 vede la pubblicazione

    • Non c'è che dire, l'annuncio stampa di ieri sera è proprio una dichiarazione di guerra a questo malware

    Your comment has been posted.   Close
    Thank you, your comment requires moderation so it may take a while to appear.   Close
    Leave a Comment