Malware attraverso Windows Update ? Ma no ...

Leggo via Downloadblog di un report di Symantec ripreso da Ars Technica sulla possibilità, cito i loro titoli, "di sfruttare Windows Update per scaricare malware sul sistema". Dopo aver letto i tre articoli a ritroso mi sono messo nei panni di un lettore non particolarmente esperto di Windows e mi sono  domandato: è vero ? E' tutto chiaro il rischio che mi hanno cercato di spiegare ? Ho imparato qualcosa di nuovo in ambito sicurezza ? Che percezione ne deriva della sicurezza di Windows, e di Windows Update in particolare ? Le risposte che mi sono dato non sono molto confortanti . . . e ho sentito il bisogno di aggiungere chiarezza.

Sintetizzando le informazioni che stanno circolando, il succo della notizia vera è che esistono malware che, DOPO aver compromesso il sistema,  utilizzano il servizio BITS di Windows per operare il download di file da Internet. Messa così non mi sembra una gran notizia di sicurezza ...

Facciamo insieme un breve esercizio di analisi della notizia per condividere qualche considerazione di sicurezza e non.

Il punto di partenza da analista di sicurezza Microsoft è questo: è una vulnerabilità di Windows? Ossia esistono di difetti di Windows che permettono di violare il sistema, acquisire privilegi o compromettere la sicurezza di dati ? NO, non c'è nessun bug, nessuna configurazione errata o abusata, che permetta di entrare al malware di cui si sta parlando: il sistema deve prima infettarsi con altri metodi, ed eseguire il malware in oggetto. 

Approfitto per  segnalarvi una risorsa web di Microsoft che diventerà un'importante portale di riferimento per la consultazione delle informazioni sul malware: il Microsoft Malware Protection Center; ora è in fase di preview pubblica: segnalate direttamente i vostri commenti e le feature che vorreste veder presenti nella versione 1.0 che vedrà la luce ai primi di luglio. Se cercate il nome del malware segnalato, Win32/Jowspry, trovate già la breve descrizione di alcune varianti.

Se quindi la situazione di partenza è che il malware sia già sul sistema si potrebbe dire: game over, sei già compromesso, quello che può fare il codice malware dipende dai privilegi con cui sta agendo sul tuo sistema. Cosa fa questo malware? In modo utilitaristico dice: perché devo appesantirmi e usare un mio meccanismo (client TFTP o simili...) per fare il download di file da Internet. Guarda, guarda: c'è BITS messo a disposizione dal sistema, che può fare il lavoro per me, approfittiamone, è free ! BITS è un servizio di trasferimento file usato da diversi componenti di Windows, applicativi Microsoft e applicativi non-Microsoft (come indicato anche in fondo all'articolo di Wikipedia): è tranquillamente documentato su MSDN proprio per abilitare applicazioni di terze parti ad usarlo! Quindi l'uso di BITS che il malware fa è legittimo, come lo farebbe una qualsiasi applicazione!

Cosa ha fatto meritare a questa situazione l'attenzione di Symantec ? L'associazione di idee, errata, che, essendo BITS il componente usato ANCHE da Windows Update (WU) per fare il download delle patch, potesse essere un modo per bypassare il firewall locale in quanto tipicamente WU loro lo citano come  componente trusted nelle policy del firewall.

• Punto 1: Windows Update non c'entra niente: il malware chiama BITS e fa delle chiamate a suoi siti web ! Quindi se volete considerare solo WU trusted per il firewall (e non BITS), le connessioni che genera il malware non le beccate con questa policy e vengono bloccate (ma non potete bloccare BITS, vedi punto 3)!
• Punto 2: le connessioni usate da WU sono in uscita (sono outbound per il download di file da internet) e nel Windows Firewall di Windows Vista non esistono nativamente policy per il traffico outbound a meno che non siano state create ad hoc (o usiate un firewall locale diverso), quindi non è vero che WU è un componente trusted in modo nativo per le policy del firewall!
• Punto 3: se anche si creassero policy outbound per trustare il traffico di BITS (e non WU!) si bloccherebbe anche il traffico legittimo di altre applicazioni che lo usano per i loro file transfer, quindi non ha senso !

Forse ora si capirà meglio e si potrà giustificare se Microsoft ha criticato il report di Symantec... il motto che ho coniato per il mio blog è "Numquam postare, si non studere et cogitare"... mi sa che non tutti fanno così ...

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS