hit counter
Conficker worm: considerations and resources for effective containment - NonSoloSecurity Blog di Feliciano Intini - Site Home - TechNet Blogs

NonSoloSecurity Blog di Feliciano Intini

Notizie, best practice, strategie ed innovazioni di Sicurezza (e non solo) su tecnologia Microsoft

Conficker worm: considerations and resources for effective containment

Conficker worm: considerations and resources for effective containment

  • Comments 5
  • Likes

[English version of considerations and best practices will appear below: translation in progress]

General resources

Conficker.E

Conficker.D

Conficker.C (also known as Conficker.B++)

Conficker.B

Conficker.A

MS08-067 Microsoft Security Bulletin

============================================== 

Considerazioni  (tratte dal post Considerazioni per un efficace contenimento dell'infezione Conficker.B

Credo abbiate letto di come questa infezione si stia diffondendo in modo serio, e non solo in Italia. Anche dal nostro osservatorio privilegiato, che ha la possibilità di seguire tutti i maggiori grandi clienti italiani, devo confermarvi che si osserva un aumento quotidiano del numero di aziende interessate da questa problematica (anche se mediamente in modo non grave). Anche se vi ho già riportato nei post precedenti i link alle informazioni tecniche di dettaglio per poter procedere al rilevamento e alla rimozione di Conficker.B (li trovate riepilogati in basso), credo sia utile e opportuno sottolineare alcune caratteristiche di questa infezione che non sembra siano state ben comprese: spero che queste considerazioni possano aiutarvi nelle operazioni di contenimento e bonifica di questo malware, che si sta rivelando davvero ostico da rimuovere nello scenario aziendale.

Aggiornamento del 21/01/2009: potreste essere interessati anche ad alcune considerazioni non strettamente tecniche su questa infezione nel mio post su MClips appena pubblicato:

Worm Conficker.B: forse non tutto il male viene per nuocere

Intanto per cominciare è opportuno che metta bene in evidenza un recente articolo della Microsoft Knowledge Base che elenca tutte le indicazioni operative utili alla rimozione di Conficker.B:

KB962007: Avviso relativo al virus worm Win32/Conficker.B (versione italiana) (versione inglese)

Una immagine vale più di tante parole, prendo in prestito quella del MMPC che è quasi completa (ora vi spiego):

Conficker infection diagram 

Come si può osservare da questo diagramma, il worm utilizza diverse modalità per propagarsi, ed un PC può essere infettato se

  1. è sprovvisto di patch MS08-067 (958644)
  2. ha delle share aperte in scrittura
  3. ha delle utenze locali con password deboli
  4. con la funzionalità Autorun attiva, viene connesso a dispositivi rimovibili (chiavette USB, hard disk esterni) preventivamente infettati

Un'altro importante veicolo di propagazione non bene evidenziato dal diagramma è il seguente

  • 5. il worm utilizza le credenziali dell'utente loggato sul sistema infettato per tentare di propagarsi accedendo alla share di sistema ADMIN$ del sistema che intende infettare: quindi, per esempio, se si infetta un sistema su cui è loggato un Domain Administrator, questo sistema è in grado di infettare tutti i sistemi che fanno parte dello stesso dominio. Questo veicolo è quello che probabilmente giustifica il maggior impatto di questa infezione in ambito aziendale rispetto agli utenti finali.

Quindi il primo passo per poter operare un contenimento efficace è avere chiaro che i vettori di infezione per Conficker.B sono i 5 che ho elencato (per questa specifica variante B, al momento in cui vi scrivo) e non è solo la vulnerabilità CVE-2008-4250 corretta dal bollettino MS08-067.

Questo dovrebbe aiutarvi a rispondere alla domanda frequente: è possibile ritrovarsi di nuovo infettati se ho già messo la patch MS08-067? Certo che è possibile, poiché vi sono altri 4 modi per essere infettati.

Di fronte a questo scenario si comprenderà meglio la difficoltà di rimozione totale di questo malware nello scenario aziendale: teoricamente, finché sussiste anche solo UNO dei sistemi che sia infetto e il resto dei sistemi aziendali non sia stato rinforzato in modo da bloccare tutte le 5 modalità per essere infettati, si possono innescare delle dinamiche di infezione ricorsive difficili da controllare e tali da far perdere letteralmente la bussola.

Quindi il modo migliore di contenere questa infezione è quello di impostare un automatismo che permetta ciclicamente di rilevare e rimuovere completamente il worm se presente, fino a quando non si riescano a portare TUTTI i sistemi in uno stato sicuro, equivalente a chiudere tutte le 5 modalità di infezione. Le indicazioni operative che vi vengono fornite dagli articoli indicati in basso hanno proprio lo scopo di darvi un metodo per raggiungere questo obiettivo.

E l'antivirus, mi domanderete, non può aiutare a impedire l'infezione? Certo, l'antivirus dovrebbe essere in grado di bloccare il tentativo di infezione: il condizionale però è d'obbligo, poiché nei giorni scorsi non tutti i vendor antivirus sono stati in grado di produrre delle firme completamente efficaci nel rilevamento e rimozione di Conficker.B. Questo introduce una ulteriore variabile di incertezza che va risolta per essere sicuri di aver successo nell'opera di bonifica: bisogna esser certi che il software antivirus in vostro possesso sia davvero efficace. Quelli Microsoft hanno finora dimostrato di esserlo e sono stati questa volta i primi a produrre sia le firme che il tool di rimozione (MSRT).

Utilizzerò questo post per aggiornarvi con i diversi consigli utili per il contenimento e la bonifica da infezione Conficker.B.

Aggiornamento del 21/01/2009: i clienti che fossero in qualche modo di fronte all'impossibilità di mettere la patch MS08-067 (per esempio perché ancora fermi su versioni di Windows ormai fuori supporto, come Windows XP SP1) ricordino che hanno a disposizione l'impiego dei Workarounds elencati nel bollettino sotto il paragrafo “Server Service Vulnerability - CVE-2008-4250” per supplire all'assenza (si spera temporanea) della patch.

Aggiornamento del 23/01/2009: Nuovo post riepilogativo da parte del MMPC con altre risorse di approfondimento:

MMPC: Centralized Information About The Conficker Worm

Aggiornamento dell' 8/02/2009:  Nuove pagine riepilogative su Microsoft.com che consolidano le diverse informazioni utili sull'argomento, e che verranno aggiornate in caso di novità:

per gli utenti finali: Protect yourself from the Conficker computer worm

per i professionisti IT: Protect Your Network from Conficker

Aggiornamento del 13/02/2009:  Microsoft lancia un'offensiva organizzata per contrastare l'infezione Conficker e individuarne gli autori:

Microsoft crea una nuova alleanza e dichiara guerra a Conficker

Aggiornamento del 26/02/2009: Prendete visione dell'advisory pubblicato sulla correzione alla funzionalità di Windows Autorun e delle informazioni sulla nuova variante Conficker.C

Security Advisory su Windows Autorun

A proposito della nuova variante Conficker.C (anche detta Conficker.B++) 

Comments
  • PingBack from http://www.windowsolution.org/2009/03/confickerd-la-nuova-variante-pronta-per-il-1%c2%b0-aprile/

  • Nelle ultime ora sta crescendo la preoccupazione in rete per un possibile aumento di traffico previsto

  • Se amate la matematica e l’analisi tecnica di Conficker vi sta affascinando, non dovete perdere di leggere

  • [English version below: " The saga goes on: Conficker.E " ] Immaginando che tanti di voi siano

  • [English version below: " Microsoft Security Bulletin Risk Analysis – April 2009 " ] Come già

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment