Negli ultimi giorni ho assistito ad una seconda ondata di infezioni da conficker. Già, sembra incredibile, ma dal lontano 23 ottobre 2008 siamo ancora alle prese con un ritorno in auge di questo worm.

Com’è possibile? Si tratta di nuove varianti? Sono intervenuti nuovi fattori? Dopo 8 mesi perchè siamo ancora impreparati a gestire un emergenza di questo tipo?

Cerchiamo di fare un pò d’ordine:

L’ultima variante rilevata è la variante E del worm (8 Aprile 2009)

 

image

 

Quindi possiamo escludere che al momento la nuova ondata di infezione sia generata da varianti non ancora rilevate dagli anti-virus. Dobbiamo quindi spostare la nostra attenzione su altre cause.

Per quanto possa sembrare strano ci sono dei Clienti dove, dopo oltre 8 mesi dal rilascio, non si è ancora riusciti ad installare la patch MS08-067. Nonostante la grande divulgazione di informazioni su questo worm, la precezione rimane che basti la patch per risolvere il problema.

Forse questo è l’aspetto fondamentale che facilita la diffusione ancora oggi del worm, in questi anni relativamente tranquilli sotto il profilo di attacchi di virus/worm, si è fatta strada l’idea che l’installazione delle patch sia la panacea al problema.

Questa percezione ha portato ad un atteggiamento rilassato sull’argomento che tende a sottoalutare l’effettiva minaccia e ne facilita la diffusione. Il vero successo di questo worm è proprio qui, non limitarsi ad utilizzare una vulnerabilità di un protocollo; ma essere in grado di sfruttare “gli anelli più deboli” di protezione del sistema: le cattive abilitudini degli utenti.

Questa forse è la vera chiave di lettura del problema, essere in grado di far capire che il problema non è solo nel prodotto, nella tecnologia, negli strumenti; ma in come questi vengono utilizzati.

L’altro aspetto di questo problema è ancora la diatriba se sia necessario oppure no riavviare il sistema. Anche in questo caso le opinioni sono le più disparate e le motivazioni le più varie possibile.

Teniamo però i piedi per terra e andiamo al cuore del problema, cosa succede quando un programma viene caricato in memoria? Il programma viene eseguito e all’interno dello spazio di memoria assegnato può effettuare qualsiasi operazione. Nel caso di Conficker lo spazio di memoria in cui viene eseguito è condiviso all’interno del processo SVCHOST, quindi potenzialmente il worm è in grado di scrivere anche nelle aree di memoria utilizzate da altri programmi. Morale, si può essere sicuri che il tool di rimozione o l’antivirus non solo abbia rimosso il worm, ma abbiano anche verificato che tutto quanto caricato in quell’area di memoria sia corretto e non sia stato modificato? In teoria si, questo implica, da parte degli strumenti di rimozione, una conoscenza approfondita non solo delle operazione che il worm esegue ma anche dello stato di tutti i programmi che con lui condividono la memoria allocata. In questo contesto la pratica di non effettuare il reboot del sistema potrebbe rivelarsi poco efficace, perchè rischia di lasciare in esecuzione codice modificato o (nel caso questo venga rimosso) di compromettere la stabilità del sistema.

Quindi dovrebbe essere una pratica comune e consolidata effettuare il riavvio del sistema tutte le volte che viene identificato un virus/worm e ne viene effettuata la rimozione. Questo perchè in maniera conservativa questo è il solo metodo che garantisca la completa “pulizia” di quanto caricato in memoria.

Vorrei lasciarvi quelli che secondo me sono i punti fondamentali da ricordarsi:

  • l’antivirus è condizione necessaria ma non sufficiente per fermare l’infezione (l’antivirus non previene la scrittura sul disco, questa operazione è inibita da un prodotto di IPS)
  • la patch è condizione necessaria ma non sufficiente per fermare l’infezione (la vulnerabilità dell’RPC è uno dei veicoli di infezione, non il solo)
  • il reboot è FONDAMENTALE (in caso di rilevazione e successiva pulizia del worm)
  • il corretto utilizzo dell’AutoPlay è fondamentale
  • non bisogna MAI lasciare i sistemi con sessioni di utenti con privilegi elevati attive (il logoff dove essere la pratica comune)

Spero che quanto detto non vi sia suonato nuovo e se ci fossero ancora dei dubbi sull’argomento vi invito a farli presenti; così forse non ci sarà un nuovo post “Conficker III, il ritorno del worm vivente

Dario

Altri post/risorse correlate:

Conficker worm: considerations and resources for effective containment

Non sottovalutate mai la potenza (e i rischi) di…. AutoPlay