QR code per la pagina originale

Sasser: dall’exploit al worm

Come un copione già visto. Sasser, il worm che sta mettendo in ginocchio milioni di computer, è nato da un exploit diffuso in rete dopo gli avvisi di sicurezza di Microsoft. Dubbi sul sistema di patch

,

Dall Goldman Sachs di Hong Kong a 120 filiali della banca Sampo Finlandese, dal sistema metropolitano di Sydney ad un terzo degli uffici postali di Taiwan. Il worm Sasser, comparso nel weekend, ha già messo in ginocchio milioni di computer in tutto il mondo. Secondo Panda Software sono 300 milioni i computer che non hanno installato le patch correttive dei sistemi Microsoft disponibili sin dal 13 aprile. 300 milioni di potenziali vittime del worm.

[Per la rimozione fate riferimento ai tool segnalati nella scheda tecnica di Sasser.B]

In Italia il worm ha creato i maggiori disagi sui computer delle Ferrovie dello Stato senza tuttavia creare problemi alla normale circolazione dei mezzi di trasporto. Colpiti anche Viminale e alcune postazioni di Telecom Italia. La situazione sembra tuttavia del tutto sotto controllo.

Sono 18 milioni i computer colpiti nelle prime ore di infezione. Considerando il weekend e le festività del primo maggio, si può ipotizzare una crescita dei malfunzionamenti nelle prossime giornate. Sasser non invia e-mail a valanga e non compromette i documenti sul proprio computer. Il principale sintomo del worm è il continuo ed improvviso riavvio del computer.

Il worm sfrutta la vulnerabilità del sistema di sicurezza locale di Microsoft Windows XP e Microsoft Windows 2000 e si attiva solamente su queste due versioni del sistema Microsoft. Le altre versioni, anche se vulnerabili, non sono state prese di mira dal worm. La zona di maggior diffusione è l’Asia. Secono la mappa di TrendMicro, in Europa le zone più afflitte sono l’Irlanda, Belgio, Olanda e Austria.

L’autore del Worm è rimasto anonimo. Tuttavia l’ultima variante del worm Netsky, del quale sono state rintracciate quasi trenta versioni diverse, contiene all’interno del proprio codice un messaggio che, se confermato, potrebbe legare Netsky e Sasser ad un unico autore. Nel messaggio, riportato da Panda Software, si lancia un avvertimento alle aziende antivirus: «Hey, aziende di antivirus, sapete che siamo stati noi a programmare il virus Sasser?!?. Sì, è vero! Perché lo avete chiamato Sasser? Suggerimento: paragonate il codice del server FTP [di Sasser] con quello di Netsky.V!!! LooL! Noi siamo gli Skynet…»

Ci sono voluti solo diciannove giorni prima che la falla nella Local Security Authority Subsystem Service (LSASS) si trasfomasse in un pericoloso Worm che, diffondendosi a macchia d’olio, ha già messo in allerta tutte le principali agenzie e aziende di sicurezza del paese.

La filiera di produzione dei worm è già stata individuata dagli esperti di sicurezza. Dopo la pubblicazione dei bollettini in cui si definiscono i problemi di sicurezza dei software, i primi cracker si mettono in moto cercando di risalire dalle patch ai principi che le hanno generate, e dunque al bug di sicurezza del programma. Questo procedimento di Reverse Engineering permette di creare alcuni primi exploit che, diffusi in rete, diventano di dominio pubblico.

Piano piano l’exploit, ossia il codice che permette di sfruttare il problema di sicurezza, passa di mano in mano e viene perfezionato in modo da diventare stabile ed efficace. Se il codice non viene sfruttato per azioni di cracking o d’altro diventa worm.

Sasser ha seguito lo stesso percorso. Allarmi di exploit e di possibili worm erano stati segnalati già da alcune settimane mentre i primi exploit, quasi inoffensivi, erano disponibili già pochi giorni dopo il rilascio dei bollettini Microsoft avvenuti il 13 aprile. L’exploit definitivo, quello che probabilmente è stato utilizzato per Sasser, è comparso a fine aprile.

Il worm Sasser colpisce solamente i computer Windows XP e Windows 2000 che non hanno ancora applicato le patch dal sito di Windows Update. Dopo il caso Blaster e dopo le decine di worm comparsi nei primi mesi di quest’anno si pensava che gli utenti e i navigatori avrebbero prestato maggiore attenzione ai problemi di sicurezza informatica. Ma notizie e proclami non hanno fatto breccia e Sasser è qui a dimostrarlo.

Sotto accusa allora è stato messo il sistema di aggiornamento di Microsoft. Anche l’ultima decisione di rilasciare 20 patch in un solo giorno ha trovato forti detrattori. Non solo perché il sito di Windows Update, preso d’assalto dagli aggiornamenti, ha ritardato l’installazione delle patch, ma anche perché gli utenti che non posseggono collegamenti a larga banda, e sono la grande maggioranza, fanno fatica a scaricare decine di MByte di correzioni.

Microsoft sta correndo ai ripari e il prossimo Service Pack 2 per Windows XP, ancora annunciato in ritardo, dovrebbe risolvere i principali problemi. Un firewall controllerà le connessioni in entrata e in uscita, mentre un pannello di controllo renderà più visibile, e dunque più all’attenzione dell’utente, le opzioni di sicurezza. Quanti installeranno il Service Pack 2 di XP? Sicuramente non tutti e probabilmente meno di coloro che hanno già applicato le patch.