Il Microsoft Security Response Center (MSRC) ha appurato che i problemi di blue screen sperimentati da alcuni clienti dopo l’installazione dell’aggiornamento MS10-015 non sono dovuti a difetti nella qualità della patch, ma conseguenti alla presenza di uno specifico malware, l’ Alureon rootkit:

Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit

Il post fornisce diverse considerazioni interessanti sull’immunità a questo problema da parte delle piattaforme a 64 bit e chiarisce come mai non sia stato possibile scoprirlo prima del rilascio del bollettino.

Nonostante si stia lavorando alacremente in coordinamento con gli altri vendor antivirus nel trovare il modo più efficace ed automatico di rimuovere totalmente questo rootkit dal sistema infetto, è importante risottolineare la best practice principale da adottare di fronte all’incertezza di aver adeguatamente ripulito il PC: per quanto sia noioso e dispendioso,

l’unico modo di riguadagnare il pieno controllo del proprio PC dopo una seria infezione è quello di rifare l’installazione del sistema da zero, previo opportuno backup dei dati (ve ne avevo parlato già in questo post, dove trovate altri puntatori utili in merito)

Ulteriori chiarimenti (ore 14:00): alla luce di quanto indicato dal post MSRC, è stata sbloccata la distribuzione automatica dell’aggiornamento tramite Automatic Updates solo per le versioni a 64bit. Qualcuno esprime qualche perplessità sui motivi che stiano alla base del blocco alla distribuzione ancora attivo per le versioni a 32bit. Il motivo è ancora una volta la tutela degli utenti, in particolare quelli finali, che ricevono gli aggiornamenti via Automatic Updates e li installano, in base alla nostra raccomandazione, in modo automatico. Per questi utenti il rischio di essere infetti è maggiore rispetto a quelli aziendali (conoscendo purtroppo il basso livello di aggiornamento degli antivirus sui PC) e quindi è maggiore il rischio di incorrere nel malfunzionamento in oggetto se prima non ci si accerta di aver adeguatamente ripulito il sistema da ogni possibile infezione. E’ per questo che si è deciso per ora di non riabilitare l’aggiornamento automatico per le versioni a 32bit: per indurre gli utenti finali a verificare prima il livello di aggiornamento dell’antivirus e poi ad installare la patch. Naturalmente si sta operando per una soluzione che semplifichi la vita agli utenti finali, nell’automatizzare questo processo di verifica di disinfezione in modo da poter anche riattivare l’aggiornamento automatico. Ricordo, invece, che per gli utenti aziendali tutte le sorgenti di aggiornamento (SMS, WSUS) continuano ad essere disponibili poiché si suppone che sia l’amministratore di sistema a verificare che i sistemi siano puliti da infezioni prima di procedere all’aggiornamento.

Aggiornamento del 2 marzo 2010: Riemesso il bollettino MS10-015 con nuovi strumenti a supporto dei clienti

Feliciano

 

Altri post/risorse correlate: