hit counter
11 January 2008

Nuova puntata della rubrica Anti-FUD: chiariamo le idee sul nuovo Master Boot Sector Rootkit

Sintesi: è bene che sappiate dell'esistenza di un nuovo malware in circolazione che recupera una modalità antica di infezione, la scrittura del Master Boot Record (MBR). La pericolosità di questo malware NON è però nuova ed è abbastanza bassa, poiché non vengono sfruttate nuove vulnerabilità (quindi un computer completamente aggiornato è al sicuro da questo punto di vista) e l'efficacia dell'infezione richiede che l'utente abbia i privilegi amministrativi (e lanci volontariamente qualche eseguibile di dubbia provenienza). Nel seguito del post vengono anche smontati i tentativi di far credere che questo malware sfrutti delle debolezze di Windows, e di Windows Vista in particolare.

Mi mancava il fatto di non riuscire a scrivere un'altra puntata della rubrica Anti-FUD, la mia collezione di post in cui mi prendo la briga di smontare qualche errata percezione che vedo circolare nella blogosfera a causa della perdita di informazione che si ottiene dall'effetto che io chiamo FUD-Tam-Tam: se chi pubblica una notizia commette degli errori, volontari o involontari, e chi la riprende non la verifica, si genera disinformazione a catena... (a proposito di FUD: vorrei dar ragione all'amico Misi e usare la versione italiana PID, Paura-Incertezza-Dubbio, ma questo acronimo si confonde troppo con altri termini legati alla sicurezza).

Tema di questa puntata è la segnalazione della presenza di un malware che infetta il Master Boot Record (MBR) come riportato da due dei blog inclusi nella mia lista di recensioni (da PC al sicuro e quello di Simply Security). Stiamo parlando di "VirTool:WinNT/Sinowal.A", detto anche "Trojan.Mebroot"e in un'altra mezza dozzina di modi (... chissà quando riusciremo a concordare un modo unico di classificare e denominare il malware... :-(...).

In qualità di Security Advisor di Microsoft, quando leggo di un nuovo malware e devo valutare la sua pericolosità le prime domande che mi pongo sono:

  • Qual'è il vettore/modalità di attacco?
  • Quali vulnerabilità vengono sfruttate?
  • Quali privilegi deve avere l'utente affinché l'attacco vada a segno?

Sfortunatamente parte di queste informazioni stanno cominciando a latitare nei report di molti fornitori Antivirus, con l'effetto di disorientare e disinformare il lettore, anche quello più tecnico. Se poi il fornitore di Antivirus commette degli ERRORI (spero involontari, e non per generare FUD su Windows e su Windows Vista) che aiuto si sta fornendo a chi si deve difendere? Mi sto riferendo al post di Symantec sull'argomento in oggetto, che a un certo punto dice:

"The main problem is that some versions of Microsoft Windows allow programs to overwrite disk sectors directly (including the MBR) from user mode, without restrictions. As such, writing a new MBR into Sector 0 as a standard user is a relatively easy task. This issue has been known for quite some time, and still affects the 2K/XP families, while Vista was partially secured in 2006 (after Release Candidate 2) after a successful attack demonstration made by Joanna Rutkowska. The attack is called the “Pagefile Attack”."

Ora ditemi: che percezione vi rimane dopo la lettura di questo paragrafo? L'idea errata che l'utente si fa è che il malware in oggetto può fare quello che fa perché Windows è debole e permette all'utente normale di scrivere direttamente nel Sector 0, che è un problema che c'è da Windows 2000 e che neanche in Windows Vista sia stato risolto del tutto. Tutto sbagliato! C'è una seria omissione che rende quanto detto da Symantec non corretto: non si dice che i privilegi necessari per fare quella operazione di scrittura diretta su disco sono privilegi amministrativi!! Il mio amico Windows-core-super-guru (Luca Sanson) mi ha aiutato a fare le verifiche del caso e mi fatto notare che perfino le slide sul "pagefile attack" della Rutkowska, che vengono segnalate da Symantec nel paragrafo citato, mostrano nella slide 6

Vista allows usermode app to get raw access to disk  (provided they run with admin privileges of course)

  • CreateFile(\\.\C:)
  • CreateFile(\\.\PHYSICALDRIVE0))

E se andate su MSDN a cercare la funzione CreateFile trovate al paragrafo "Physical Disks and Volumes" la frase "The caller must have administrative privileges" e questo fin da Windows 3.1 !!!

Tornando al nostro nuovo malware e alle domande per verificare la sua pericolosità, le risposte sono:

  1. L'utente deve essere amministratore per fare in modo che l'attacco possa essere portato a segno e si riesca a sovrascrivere l'MBR con uno infetto.
    • Windows Vista ha anche il vantaggio di protezione che lo User Account Control vi avvisa del tentativo del malware di richiedere privilegi più elevati (approfitto per ribadire che chi disabilita lo UAC fa un grave errore)
  2. Non viene sfruttata nessuna nuova vulnerabilità di Windows
    • Per gli attacchi drive-by operati dai siti infetti (ossia senza interazione dell'utente), il fatto di avere un sistema completamente aggiornato difende in modo completo.
  3. La modalità di attacco per questa variante è rappresentata solo dalla navigazione su siti infetti (vedi punto 2). Se dovessero uscire altre varianti che usano dei file eseguibili, sarebbe comunque necessaria l'azione volontaria dell'utente di lanciarli, e la necessità dei privilegi amministrativi (punto 1) permetterebbe agli utenti normali di non essere a rischio.

Detto questo mi sento di concludere con la frase "niente di nuovo sotto il sole", solo un modo vintage di recuperare una vecchia modalità di infezione dei bei tempi del DOS: niente debolezza di Windows e chi ha Windows Vista è più al sicuro degli altri.

P.S. Chi rimanesse sfortunatamente vittima di questo malware faccia caso al fatto che la scheda del Malware Protection Center ha anche una sezione Recovery con le istruzioni per ripristinare un MBR pulito.

 

Filed under: , , ,
 

Comment Notification

If you would like to receive an email when updates are made to this post, please register here

Subscribe to this post's comments using RSS

Comments

# Roberto Scaccia said:

Caro Feliciano, si dedicano allo sport più praticato "sparare su Windows".

Il tuo post dimostra ancora una volta che molte persone parlano della sicurezza di Windows non conoscendo né Windows, né tantomeno MSDN!

Bastava una ricerca appunto su MSDN per trovare questo:

"You can use the CreateFile function to open a physical disk drive or a volume. The function returns a handle that can be used with the DeviceIoControl function. This enables you to access the disk partition table. However, it is potentially dangerous to do so, because an incorrect write to a disk could make its contents inaccessible. The following requirements must be met for such a call to succeed:

   * The caller must have administrative privileges. For more information, see Running with Special Privileges.

   * The dwCreationDisposition parameter must have the OPEN_EXISTING flag.

   * When opening a volume or floppy disk, the dwShareMode parameter must have the FILE_SHARE_WRITE flag.

"

E rendersi conto che con account di Amministratore ben poche misure di sicurezza ci possono salvare!

Roberto

12 January 08 at 2:03 AM
# RoBYCoNTe said:

Devo farti i miei complimenti! Finalmente trovo qualcuno  che non parla mai male, osserva e descrive le cose per quello che sono! Mi piace il tuo blog davvero tanto, lo aggiungo nei miei preferiti anche perchè penso potrà essermi molto d'aiuto in futuro!

12 January 08 at 8:09 AM
# suc said:

io trovo ridicola la frase scritta su PCAlSicuro da Marco Giuliani che dice: "In alcuni test preliminari Windows Vista è risultato solo parzialmente vulnerabile: se UAC è disabilitato"

E' evidente che chi ha scritto questa frase, ha solo l'interesse di vendere i propri prodotti antirootkit (prevx), dato che:

1. non esiste alcuna vulnerabilità

2. lo UAC è abilitato di default, e quindi quel "se la lo UAC è disabilitato..." è completamente fuori luogo! Come dire che se la nonna avesse le ruote....

12 January 08 at 2:36 PM
# Paolo De Nictolis said:

Eddai ragazzi, ammettiamolo: siamo "noantri" che usiamo Windows che non capiamo una mazza, mentre chi si affida a Linux scarica le distro, ma solo perchè gli piacciono i temi grafici, in realtà il kernel se lo riscrivono da soli! Vorrei sapere come fanno gli utenti Mac con una FreeBSD lucchettata da Apple, ma sicuramente in qualche modo faranno anche loro, mica usano Windows! :D

SDL, template GPO, MBSA, NAP? E cosa sono? Si sa che "noantri" sappiamo solo tirare fuori "scatole magiche" e fare Avanti -> Avanti -> Avanti -> Fine! Se sapessimo usare un computer, non useremmo Windows! Poi, ogni anno il SANS Institute tira fuori una cosa corposa chiamata "report" in cui spesso il numero di vulnerabilità rilevate per i sistemi operativi "alternativi" (ma sarà poi così incapace di intendere e di volere, il 90% dell'umanità?) superano quelle di Windows, ma sarà di certo un loro errore!

Siamo solo noi accecati dalla luce di Redmond a non riconoscere un fatto talmente lapalissiano, ovvero che la Sicurezza non è una complicata questione di processo, ma basta scegliere il prodotto giusto! Per "Seven" è già pronto il nome: 9i. THE UNBREAKABLE!

13 January 08 at 3:32 PM
# Feliciano Intini said:

@Roberto Scaccia: grazie per aver confortato la mia sensazione; spesso dopo i post Anti-FUD mi sento come una "voce che grida nel deserto"...

@RoBYCoNTe: grazie dei complimenti, e della inclusione nel tuo blogroll!

@Suc: non per difendere PCAlSicuro, ma non vedo tanto inesatto fare la supposizione dell'UAC disabilitato (che è una pratica purtroppo diffusa e incoraggiata da chi vuole sminuire le funzionalità di Vista), quanto come hai ribadito tu, il parlare di vulnerabilità e il non citare i privilegi necessari all'utente per rimanere vittima dell'attacco.

@Paolo: ... su dai Paolo... RoBYCoNTe ha appena elogiato la pacatezza del mio blog e tu ti diverti a gettare benzina sul fuoco ???

14 January 08 at 6:02 PM
# Paolo De Nictolis said:

Dici che non dovevo nominare l'Unbreakable? :P

27 January 08 at 6:43 PM
# Mauro Cicognini said:

Lo ammetto: sono tra quelli che hanno fatto il grave errore di disabilitare (parzialmente) lo UAC.

Sarà... però, dopo che anche Mark Russinovich (http://blogs.technet.com/markrussinovich/default.aspx) ha autorevolmente confermato (http://blogs.technet.com/markrussinovich/archive/2007/02/12/638372.aspx) che "non è una security boundary", e, soprattutto, stanco di vedere il PC che ogni pochi minuti si incastra per un minuto perché deve swappare su disco l'intero universo per aprire un'altra Window Station solo per mostrarmi in modo sicuro l'elevation prompt, francamente mi sono rotto l'anima ed ho fatto in modo che - solo sul mio utente - non comparisse più la richiesta. Più tecnicamente, ho disabilitato le richieste "Admin Approval Mode", lasciando invece attive le richieste di "Over the Shoulder elevation", per gli account dei miei familiari.

Ho fatto male? Probabilmente sì. Però il PC serve a me per fare delle cose utili. Come dice un mio collega: "dopo che hai installato questo antivirus/antispyware/firewall/NAC/DLP/USB control/ecc., il tuo computer è perfettamente blindato. Peccato che non rimanga più RAM per lavorare."

Se il PC occupa tutte le sue risorse con lo scopo di difendere se stesso, preferisco lasciarlo spento.

14 February 08 at 4:47 AM
# Feliciano Intini said:

Ciao Mauro. Ok, se le caratteristiche hardware del tuo PC siano tali da rendere questa funzionalità così fastidiosa come dici posso sicuramente condividere la tua scelta, anche alla luce della tua esperienza informatica (in grado di valutare le diverse decisioni di sicurezza che ti si presentano). Ma allora non si contesta il merito del valore dell'UAC, quanto il fatto che richieda forse un HW più potente della media: io non ho questa tua esperienza di lentezza, e quindi l'ho lasciato abilitato, anche perché dopo il primo periodo dopo l'installazione ora forse mi viene chiesta la conferma 1 volta ogni settimana (se anche fosse lento come a te sarebbe tollerabile con questa frequenza)...

15 February 08 at 12:31 PM

Leave a Comment

Comment Policy: No HTML allowed. URIs and line breaks are converted automatically. Your e–mail address will not show up on any public page.

(required) 
(optional)
(required) 

  
Enter Code Here: Required
Page view tracker