Avviso di Symantec: un malware sfrutta Windows Update
di Fabio Boneschi, pubblicata il 14 Maggio 2007, alle 10:24 nel canale Sicurezza
“Un malware capace di sfruttare le risorse di Windows Update è stato recentemente individuato ”
Un nuovo malware potenzialmente pericoloso che sfrutta risorse normalmente utilizzate da Windows Updade. Symantec ha distribuito un apposito bollettino di alert che però, come segnala Arstechnica.com, ha sollevato alcune critiche.
Windows Update è un servizio offerto da Microsoft che si occupa di distribuire in modo automatizzare gli update costantemente rilasciati dalla casa di Redmond. Per non distogliere eccessive risorse di rete al pc in fase di aggiornamento Windows Updare utilizza un particolare componente definito "BITS" (Background Intelligent Transfer Service).
Lavorando in modo asincrono e in background BITS e Windows Update intendono ridurre il meno possibile l'usabilità del sistema, per lo meno questi sarebbero gli obiettivi di Microsoft.
Il malware in oggetto viene denominato Win32/Jowspry e si trasmette con le consuete modalità. Qualora l'utente esegua il codice malevolo il proprio sistema risulta compromesso e il Background Intelligent Transfer Service può essere potenzialmente usato in modo malevolo.
Microsoft tiene a precisare che non è il proprio Windows Update ad essere utilizzato come veicolo di infezione: il pc deve prima essere compromesso con l'esecuzione di Win32/Jowspry. Il sistema di distribuzione degli aggiornamenti è quindi sicuro, stando alle attuali informazioni, e il problema di sicurezza in oggetto deve essere affrontato con i consueti strumenti.
Notizia Precedente 
Commenti (11)
Commento # 1
di: ulk
pubblicato il 14 Maggio 2007, 10:33
Perchè si autodenunciano?
Commento # 2
di: DevilsAdvocate
pubblicato il 14 Maggio 2007, 10:53
Perchè qualche scrittore di malware si è accorto di certi "canali privilegiati"
che possono bypassare i firewall software grazie all'architettura del
windowsupdate e si rischia di assistere ad un nuovo fenomeno
blaster/sasser...
che possono bypassare i firewall software grazie all'architettura del
windowsupdate e si rischia di assistere ad un nuovo fenomeno
blaster/sasser...
Commento # 3
di: MaerliN
pubblicato il 14 Maggio 2007, 11:53
Trovato sul pc di un cliente (o almeno, da quello che leggo, ha un comportamento del tutto simile). In pratica il malware prende possesso del processo BITS e inizia a fargli "mangiare" memoria e CPU. Il cliente di cui sopra aveva un Duron 1Ghz con 384 mega di ram, in pochi secondi il pc diventava inutilizzabile. Me ne sono accorto perchè disabilitando gli aggiornamenti automatici il problema non si presentava. 
Vabbè che se l'è anche cercata eh, av non aggiornato, nessun anti spyware / malware, nessun firewall..
Vabbè che se l'è anche cercata eh, av non aggiornato, nessun anti spyware / malware, nessun firewall..
Commento # 4
di: mauriziofa
pubblicato il 14 Maggio 2007, 11:55
Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.
Commento # 5
di: diabolik1981
pubblicato il 14 Maggio 2007, 11:58
Originariamente inviato da: mauriziofa
Esatto, spulciando nelle dll si sono accorti di questa, che però non è bypassabile dallo uac se è abilitato nel senso che ogni modifica alle librerie bits e wsus necessitano del permesso di admin. Tolto quello si ha libero accesso alle suddette librerie, quindi per ora gli unici che non saranno soggetti a tutto ciò sono gli utenti di Vista con uac abilitato. Tutti gli altri, xp e win2000 compresi saranno soggetti.
Quindi come volevasi dimostrare l'UAC sta svolgendo in modo adeguato il suo lavoro ed è da folli tenerlo disabilitato.
Commento # 6
di: neonato
pubblicato il 14 Maggio 2007, 12:31
UAC e sempre stata una bella idea ma nn tutti i programmi sono stati scritti per operare sotto "User". Nn voglio scatenare falme o caltro ma dalla mia esperienza, questo malware usa un problema noto nel winupdate.
Chi ha in azienda WSUS, e distribuisce aggiornamenti vede la somiglianza di roblemi tra il malware e un bug in WSUS client.
nn sono sicuro x i PC di Casa
Il WSUS client quando cerca i prodotti da aagiornare si impalla e manda il svchost al 100% CPU. questo rende il PC inutilizzabile fino a che nn si fa un reboot o si blocca l'autoupdate.
Microsoft ha rilasciato una patch per il problema ma nn fa il suo dovere.
Per esempi WSUS 3.0 e il nuovo cliente nn sono affetti da questo problemi x il momento, maybe altri
Chi ha in azienda WSUS, e distribuisce aggiornamenti vede la somiglianza di roblemi tra il malware e un bug in WSUS client.
nn sono sicuro x i PC di Casa
Il WSUS client quando cerca i prodotti da aagiornare si impalla e manda il svchost al 100% CPU. questo rende il PC inutilizzabile fino a che nn si fa un reboot o si blocca l'autoupdate.
Microsoft ha rilasciato una patch per il problema ma nn fa il suo dovere.
Per esempi WSUS 3.0 e il nuovo cliente nn sono affetti da questo problemi x il momento, maybe altri
Commento # 7
di: mauriziofa
pubblicato il 14 Maggio 2007, 14:11
@neonato
Nessun flame non preoccuparti, anzi il problema che alzi è serio. Nel senso mentre per il pc desktop senza un server a monte basterà lo uac abilitato per scoraggiare modifiche alle dll wsus e bits locali, per i pc in una rete locale con un server domain controller il problema resta almeno fino al rilascio di Windows Server 2008 che altro non è che Vista in versione server.
Consiglio di installare un serio applicativo di controllo come ad esempio System Management Server, SMS, che effettua un rigoroso controllo sia sul server che sui client di rete. A quel punto si può stare tranquilli anche con il server.
Nessun flame non preoccuparti, anzi il problema che alzi è serio. Nel senso mentre per il pc desktop senza un server a monte basterà lo uac abilitato per scoraggiare modifiche alle dll wsus e bits locali, per i pc in una rete locale con un server domain controller il problema resta almeno fino al rilascio di Windows Server 2008 che altro non è che Vista in versione server.
Consiglio di installare un serio applicativo di controllo come ad esempio System Management Server, SMS, che effettua un rigoroso controllo sia sul server che sui client di rete. A quel punto si può stare tranquilli anche con il server.
Commento # 8
di: Crisidelm
pubblicato il 14 Maggio 2007, 15:27
E se si disabilita direttamente il servizio BITS?
Commento # 9
di: tocca80
pubblicato il 14 Maggio 2007, 19:31
Non è un malware
X Maerlin:
Il problema del tuo cliente non è dovuto al malware ma ad un malfunzionamento di windows XP, che affligge sempre più pc (ormai molti miei clienti me l'hanno segnalato). Praticamente l'abilitazione degli aggiornamenti automatici "consumano" sempre più memoria ram e arrivano sino a saturare il processore.
Applica la patch KB927891 e vedrai che tornerà tutto a posto.
Piccola provocazione: strano che un problema ormai così diffuso, non venga risolto con una delle patch mensili di Microsoft? sarà un incentivo per il passaggio a Vista?
X Maerlin:
Il problema del tuo cliente non è dovuto al malware ma ad un malfunzionamento di windows XP, che affligge sempre più pc (ormai molti miei clienti me l'hanno segnalato). Praticamente l'abilitazione degli aggiornamenti automatici "consumano" sempre più memoria ram e arrivano sino a saturare il processore.
Applica la patch KB927891 e vedrai che tornerà tutto a posto.
Piccola provocazione: strano che un problema ormai così diffuso, non venga risolto con una delle patch mensili di Microsoft? sarà un incentivo per il passaggio a Vista?
Commento # 10
di: WarDuck
pubblicato il 14 Maggio 2007, 19:53
Originariamente inviato da: Crisidelm
E se si disabilita direttamente il servizio BITS?
Credo che nn funzioni più Windows Update...
News
Per contattare l'autore del pezzo, così da avere una risposta rapida, si prega di utilizzare l'email personale (vedere in alto sotto il titolo). Non è detto che una domanda diretta inserita nei commenti venga verificata in tempi rapidi. In alternativa contattare la redazione a questo indirizzo email.