[English readers: you can find English links in this post for your convenience]

Sto leggendo in rete alcuni articoli che, partendo da una non corretta lettura di un articolo della BBC, hanno male interpretato la sequenza logica di causa-effetto che coinvolge gli aggiornamenti Microsoft sul Kernel (quello MS10-015 di febbraio e quello MS10-021 di aprile) e il rootkit Alureon: urge un chiarimento!

L’ordine giusto della sequenza di eventi è:

1. Rilascio dei bollettini di sicurezza di febbraio: rilasciata la patch MS10-015 relativa al Kernel
2. Alcuni clienti su Windows XP riscontrano dei problemi di Blue Screen e conseguente riavvio all’atto dell’installazione di questa patch.
3. Si teme sia un problema di qualità dell’aggiornamento: Microsoft interrompe la distribuzione della patch e opera una indagine al riguardo
4. Si scopre che tutti i problemi di Blue Screen sono dovuti ad installazioni su PC preventivamente infetti con il rootkit Alureon.
5. Si migliora la logica di rilevamento della patch (in modo che abbia la possibilità di verificare lo stato di consistenza/pulizia del PC prima di procedere all’installazione della patch) e la si rende nuovamente disponibile.
6. Alla luce di questa esperienza, Microsoft decide di includere tale miglioramento della logica di rilevamento in tutte le patch che verranno realizzate sul Kernel da quel momento in poi, in modo da aiutare i clienti a rendersi conto di avere un PC che era stato infettato.
7. Rilascio dei bollettini di sicurezza di aprile: rilasciata una nuova patch relativa al Kernel MS10-021, che include tale miglioramento come indicato al punto precedente. Se l’installazione scopre un PC in uno stato inconsistente frutto di una infezione, allora provvede a generare un messaggio di errore per indurre l’utente a effettuare prima una disinfezione.

Quindi, come spero sia ora più chiaro, la sequenza giusta è:

se il PC si infetta >> e si prova a installare la patch >> messaggio di errore per indurre alla disinfezione >> disinfezione >> installazione senza problemi

mentre se si leggono alcuni articoli in circolazione sembra che il Blue Screen sia una prerogativa del rootkit Alureon (!!!), e addirittura che gli aggiornamenti di Microsoft prima abbiano facilitato l’infezione (!!!) e poi abbiano cercato di porvi rimedio.

No comment.

Per aiutare a migliorare la comprensione, aggiungo un mio personale chiarimento sul fatidico Blue Screen, amichevolmente detto BSOD (Blue Screen Of Death):

Il Blue Screen per Windows è l’analogo del dolore per noi esseri umani: è il segnale che viene dato dall’organismo (in questo caso dal PC) per segnalare che c’è un problema serio che ha modificato/danneggiato la nostra integrità fisica (il Kernel per il PC).

Un rootkit, che per sua natura e definizione vuole rimanere il più nascosto e irrintracciabile possibile, tutto vuole tranne che scatenare un BSOD.

In definitiva, installate senza problemi anche la patch MS10-021 e se ricevete uno specifico messaggio di errore (vedi primo articolo in basso) provvedete a ripulire il PC prima di riprovare l’installazione dell’aggiornamento.

Feliciano

Other related posts/resources:

• [EN] Get help with Microsoft Security Bulletin MS10-015 incompatibility message
• [EN] FAQ in MS10-021
• Analisi di rischio sul rilascio di Sicurezza Microsoft – aprile 2010
• Il rootkit Alureon è la causa dei problemi noti relativi alla patch MS10-015
• Riemesso il bollettino MS10-015 con nuovi strumenti a supporto dei clienti
• [EN] MSRC post: Update: MS10-015 security update re-released with new detection logic
• [EN] MSRC post: Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit
• [EN] MMPC post: Restart issues on an Alureon infected machine after MS10-015 is applied