skip to main | skip to sidebar
39 commenti

Vulnerabilità seria di Windows nei file LNK e PIF

Rattoppate i vostri Windows: basta inserire una penna USB o visitare un sito Web per infettarli


Questo articolo vi arriva grazie alle gentili donazioni di "golberto" e "subscrg".

In tutte le versioni recenti di Windows c'è una vulnerabilità, classificata come CVE-2010-2568, che consente di infettarle semplicemente inserendo nel computer una penna USB o tramite una condivisione di rete locale o un documento o un sito Web. Microsoft ha predisposto un rattoppo d'emergenza, l'Internet Storm Center ha emanato un raro allarme giallo preventivo, e sembra che l'attacco sia mirato specificamente a raggiungere e colpire i sistemi SCADA, quelli che gestiscono gran parte delle infrastrutture critiche nazionali. In altre parole, non si tratta del solito virus, ma di un attacco sofisticato con bersagli ben diversi da quelli del crimine informatico tradizionale.

Secondo l'avviso di sicurezza 2286198 di Microsoft, sono vulnerabili Windows XP, Windows Server 2003 e 2008, Windows Vista e Windows 7. Il problema sta nel modo in cui queste versioni di Windows gestiscono i file di shortcut: si tratta di file che sono collegamenti ad altri file o programmi e sono identificati dall'estensione LNK o PIF. Non è necessario aprire uno di questi file per infettarsi: è sufficiente visualizzarne l'icona, anche se sono stati disattivati AutoRun e AutoPlay.

Gli scenari delineati da Microsoft sono vari: un aggressore può dare alla vittima una penna USB contenente i file LNK o PIF ostili che rimandano a un virus o a un cavallo di Troia, che viene eseguito quando si visualizza il contenuto di questa penna con Esplora Risorse o con qualunque applicazione che gestisca l'icona dello shortcut. Non è necessario il doppio clic per avviare l'esecuzione.

Un aggressore può creare un sito Web o una condivisione di rete e piazzarvi un file di shortcut: quando la vittima visita il sito usando un browser o un file manager come per esempio Esplora Risorse, Windows carica l'icona dello shortcut e viene eseguito automaticamente il virus o cavallo di Troia associato allo shortcut. La vulnerabilità può essere sfruttata anche incorporando uno shortcut in un documento (per esempio nei documenti di Microsoft Office).

I sistemi SCADA presi di mira sono specificamente quelli della Siemens, tramite un cavallo di Troia denominato Stuxnet che cerca di acquisire la password di default del sistema. È chiaro che avere un cavallo di Troia che va a caccia di password su un sistema informatico che gestisce un'infrastruttura vitale (reti elettriche, centrali e simili) non è una bella cosa. Secondo Computerworld, sono stati segnalati attacchi realizzati ai danni di una industria tedesca e di un'organizzazione iraniana e tentativi d'infezione negli Stati Uniti, in Indonesia, India e Iran. Symantec parla di circa 9000 tentativi al giorno. Siemens ha pubblicato delle linee guida per gestire il problema.

Microsoft ha pubblicato un rattoppo che va eseguito manualmente dall'utente, perché non fa parte degli aggiornamenti automatici. Vista la facilità con la quale si può diffondere questo attacco, e visto che l'Internet Storm Center dice che "lo sfruttamento su vasta scala [della vulnerabilità] è solo questione di tempo", è opportuno installare questo rattoppo al più presto su tutti i sistemi Windows e attivare, ove possibile, le restrizioni di esecuzione, in modo che sia consentita l'esecuzione solo da un percorso specifico e non da una penna USB o da altri dispositivi rimovibili.

Fonti: The Register (1, 2), Secunia, ZDNet, Sophos (1, 2, 3, 4).
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (39)
E' dalla fine degli anni 80 che floppy e dispositivi rimovibili vengono usati come vettore. Ma e' mai possibile che non si riesca a scrivere una shell utente senza che questa carichi alla razzo ogni schifezza che arriva da un dispositivo rimovibile?

Windows mi chiede conferma in carta da bollo quando avvio un programma dal desktop e non si fa problemi con le chiavette USB?!
Quoto al 100% il commento di Luigi. Mi ricordo bene nei primi anni novanta i dischetti infetti che mi arrivavano direttamente da ... Olivetti!!!
Noto comunque il sistema di fix della Micros0ft ... disabilitano l'icona dei file LNK e PIF sostituendola con un foglio bianco ... alla faccia di Aero!! :)))
Il fix ms è davvero geniale!
Abbasso le icone colorate dei link, sono inutili e fastidiose, anzi con il prossimo fix pretenderanno di utilizzare windows solo dalla riga di comando, magari in modalità provvisoria.
Con il terzo ed ultimo definitivo fix chiederanno di staccare il cavo della corrente.
Spero che il comando DIR del cmd.exe non usi l'incriminata shell32.dll... Ma da M$ non mi aspetto niente di meno.
RB211 mi ha tolto le parole dalla tastiera!

Ma come fa un colosso come MS a pubblicare una pezza del genere?

È come tagliarsi i piedi per paura di pestare una cacca!!!
Non sono sicuro di aver capito: il virus si installa senza che il file venga eseguito in alcun modo?

Cioè basta che l'icona del file appaia?
cioè... questo fix mi toglie le icone dei collegamenti??? ma che fix è?
Il primo link di Sophos dice - giustamente - che disattivare la visualizzazione delle icone specifiche per i file LNK/PIF potrebbe non essere il massimo, per cui suggeriscono di utilizzare invece il loro tool gratuito di protezione contro questo exploit, ma il link al tool e' morto!
E' un peccato perche' e' esattamente quello che mi serviva qui..
Concordo con tutto quanto di male vien detto su M$crap e la miserabile pezza, poi
1) spero sia solo una pezza di emergenza, per non lasciare col c**o di fuori gli utenti di sistemi SCADA
2) mi piace l'idea di un SO che esegue qualcosa mentre visualizza un icona: "Avremmo potuto stupirvi con effetti speciali ma noi siamo scemenza e non fantascienza ... e quindi ora il vostro PC è pieno di c***a"
3) I veri fessi della situazione sono quelli che installano sistemi SCADA (oltretutto critici) su server Windows che *NON* sono stati progettati per la sicurezza ma per la facilità (??) d'uso.

Giovanni
Scusate non capisco una cosa, ma quand'e' che visitando un sito internet si visualizza un'icona ?

Alberto
Paolo: il tono del tuo articolo è eccessivamente allarmistico, partendo dal presupposto che ti rivolgi a utenti finali e non a chi gestisce sistemi business o mission critical come quelli oggetto dell'attacco.

Vorrei fare una premessa: o facciamo i razionalisti fino in fondo o non lo facciamo del tutto.

Quante volte sento dire "eh ma la possibilità c'è". Basta vedere quanti giocano al superenalotto proprio perché in potenza la possibilità di vincere c'è. Va detto a chiare lettere che la possibilità in potenza non vuol dire un cazzo, e questo a mio avviso va detto con maggiore forza proprio in un blog antibufala. La possibilità va rapportata alla probabilità. La probabilità di vincere al superenalotto è una su 600 milioni, metti che giochi 100 volte l'anno 6 colonne è una su un milione. E qui ti dicono "si, è bassa ma c'è".

La probabilità di morire di incidente stradale in un anno in Italia (SOLO di incidente stradale) è una su 10.000.

Ora: se sei disposto a buttare nel cesso 300 euro l'anno per avere una probabilità su un milione di vincere, sarai cento volte più disposto (anzi, di più: in palio c'è qualcosa che ti è più utile del denaro) ad assumere un comportamento alla guida più prudente. Invece no. E secondo me questo atteggiamento è da combattere al pari delle bufale, del complottismo, delle finte medicine alternative e così via. Perché ARRECA DANNO, come ogni forma di ignoranza.

Torno all'articolo. Nella valutazione della pericolosità di una vulnerabilità non si può prendere solo in esame che in potenza è possibile un attacco. Bisogna vedere se e quanto effettivamente questo viene portato a termine. Se parliamo di pura potenza, con i Mac ci sarebbe da mettersi le mani nei capelli, in quanto vulnerabili a qualsiasi virus (nota per chi è rimasto nel millennio passato: i virus girano splendidamente anche in userspace, e in ogni caso con un minimo di ingegneria sociale ottieni tranquillamente i privilegi che ti servono). In realtà tu stesso dici che con i Mac si è più tranquilli, ma non perché potenzialmente ci siano meno rischi, bensì CONCRETAMENTE.

Allo stesso modo un utente Windows CONCRETAMENTE non vedrà mai quell'attacco. Per diverse ragioni:
1) il numero degli attacchi è irrisorio. 9000 attacchi AL GIORNO con 900 milioni di PC vuol dire che ogni giorno, per qualche giorno (il tempo che arrivi l'aggiornamento automatico) hai una probabilità su 100 mila di essere attaccato
2) l'attacco è ben focalizzato e non è rivolto agli utenti comuni
3) per quanto ho capito l'attacco via web è piuttosto impraticabile, dev'esserci l'intervento dell'utente che apre una risorsa di rete remota (ammesso che il firewall lo consenta e che ci sia una risorsa di rete remota)
4) se Microsoft ha i suoi tempi, le suite di protezione per PC sono molto più rapide: se Windows ha un problema ma interviene il software di protezione che abbiamo installato, l'utente finale non avrà alcun problema

L'utente medio di un PC (al di là del sistema operativo) insomma ha 800 mila minacce diverse di cui preoccuparsi prima (di cui 790 mila riguardano l'ingegneria sociale). Deve quindi preoccuparsi? Proprio no. Deve solo preoccuparsi:
- che gli aggiornamenti automatici del sistema operativo siano attivi
- di avere una buona suite di sicurezza installata e aggiornata
- di leggere i messaggi e porsi la domanda "devo dirgli di si o di no?" prima di cliccare compulsivamente "Prosegui"; e nel dubbio dire di no

Una volta rispettate quelle regole in potenza si rimane vulnerabili in pratica... vai più adagio in macchina che ci sono molti più rischi lì.
Paolo: il tono del tuo articolo è eccessivamente allarmistico

Se l'ISC va in allarme giallo, io non posso che accettare la loro opinione professionale.
1) l'ISC parla più correttamente solo di penne USB o condivisioni SMB, pertanto - come nella vita - basterebbe semplicemente stare attenti a cosa infili e dove per evitare di contrarre il contagio
2) l'allarme giallo è il secondo livello su 4, poi c'è l'arancione e il rosso. Se vogliamo trasporlo in parole, direi "rischio moderato"
3) l'ISC fa il suo mestiere. Dà un'informazione tecnica. Se tu fai da tramite tra la parte tecnica e il popolo degli utenti medi, beh, subentrano i ragionamenti che ti ho fatto poc'anzi: c'è un rischio potenziale ma che attualmente non è un rischio concreto. Quindi sappiate che c'è ma state tranquilli, e continuate a seguire le poche regole per evitare sorprese che rimangono valide.
Tra l'altro l'ISC è tornato a livello verde il giorno dopo, ovvero 3 giorni fa.
"Non è necessario aprire uno di questi file per infettarsi: è sufficiente visualizzarne l'icona, anche se sono stati disattivati AutoRun e AutoPlay. "

>_<

%&(££)/$£=(?^?)?/(&"/&? !!!!
Che poi non ho capito.. Ok le condivisioni di rete, son li apposta per inviare file, ma non riesco a capire come il "trucco" possa fuzionare da una pagina web.

A quanto leggo (devo leggere ancora i vari link correlati) la vulnerabilità è "peggiore" se si apre una penna USB o un altra periferica simile che possa supportare l'autolpay.

L'allarme però trascura il fatto che su un computer che gestisce operazioni "delicate" quali una centrale elettrica o quant'altro è da PAZZI consentire l'uso di dispositivi esterni di qualsiasi tipo o l'inserimento di CD o simili. Quindi si, sono d'accordo che la vulnerabiltà c'è ed è abbastanza seria (ma non più delle migliaia che consentono l'esecuzione di codice arbitrario) ma forse bisognerebbe pensare alle possibiltà reali che si verifichi. All'ISC sono sicuramente esperti, ma probabilmente non hanno pensato a come effettivamente la gente usa i computer :p

Per rispondere a chi spala fango su Microsoft, ricordo che se usassero Windows saprebbero che inserendo un dispositivo rimovibile qualsiasi, appare un avviso che chiede se eseguire il contenuto o cos'altro. Se clicco OK non è un problema di vulnerabilità, ma di utente. Diverso sarebbe il caso di un sistema che permetta di avviare l'autoplay senza alcuna richiesta.
Il colapasta è mitico!
@Mousse
Per rispondere a chi spala fango su Microsoft, ricordo che se usassero Windows saprebbero che inserendo un dispositivo rimovibile qualsiasi, appare un avviso che chiede se eseguire il contenuto o cos'altro.

Supponiamo che io sia un utente esperto: inserisco il cd/penna usb e mi appare la finestra per scegliere cosa fare. So che l'autoplay è potenzialmente pericoloso, così decido di aprire il dispositivo con il file browser, perché è probabile che mi interessi il contenuto del dispositivo, altrimenti l'avrei messo in un cassetto.
Toh che rimango infettato perché c'era sopra un file .pif.
Cosa avrei dovuto fare? Abbandonare l'"esplora risorse" ed usare quella scomoda cosa chiamata "prompt dei comandi"? Quella che usavo per prendere in giro i miei amici che usavano Linux?
Da quando esplorare il contenuto dei propri dispositivi è diventata un'attività a rischio?
Dovremo aspettare il nuovo file browser di Mozilla per navigare più sicuri tra i nostri file?
@Claudio:
So che stai cercando di tranquillizzarci e fai bene, ma allora ti chiedo: cosa succede se inserisco una chiavetta USB infetta con un simile virus, non eseguo l'AutoPlay ma apro la cartella a manina?

Da quel che ho capito, il solo aprire la cartella fa sì che l'icona malefica venga visualizzata e il virus si installi.

È così o no?

La mia domanda vale anche per altri eventuali esperti in ascolto.
@Andrea F:
Il colapasta è mitico!

In questo caso credo che si intenda colabrodo (parola tanto cara a Paolo fin dai tempi dell'Acchiappavirus).
Tanto per essere chiari. ISC dice:
"According to the arguments presented by Handler Lenny when the Infocon level was increased, we believe that the purpose of increasing the awareness on this vulnerability has been fulfilled, so we are falling back to green level. This does not imply that the threat is over.

If we see a major attack arise using this vulnerability, we will let you know and if it is bad enough we will raise infocon again."
Non riesco a trovare un documento che spieghi la faccenda in sufficiente dettaglio: a quanto pare si tratta di un problema col codice che legge le icone presenti nei collegamenti. Le icone vengono naturalmente lette quando Esplora Risorse elenca i file presenti in una directory, quindi non servono conferme.

Il workaround Fix-It proposto da Microsoft elimina il problema, ma rende anche le icone dei collegamenti irriconoscibili (tutte uguali) e quindi se non del tutto inutilizzabili, molto molto scomode.

C'è solo da aspettare che gli antivirus si aggiornino (o che quella parte di codice di windows venga modificata per rimuovere la falla), nel frattempo valgono le soite regole: non inserite dispositivi USB sconosciuti e fate doppia o tripla attenzione ai link su cui cliccate. Regole di buonsenso che valgono per ogni sistema operativo.
Ogni avviso di sicurezza informatica che in genere veda Windows come parte in causa, scatena osservazioni, critiche e commenti vari; come d'altronde é il mio...
In questo caso si pone l'accento su sistemi SCADA i quali per loro natura, difficilmente sono attaccabili da agenti esterni. Come giustamente viene osservato in un commento precedente, data la delicatezza e le funzioni operabili con sistemi SCADA, il cuore del sistema viene gestito attraverso SO mirati quali possono essere Unix piuttosto che QNX, e che vengono sviluppati ad hoc per funzioni strettamente legate a macchine e periferiche connesse al sistema, escludendo funzioni comunemente usate in altri ambienti di uso piú... domestico.
Bisogna fare peró, alcuni distingo:
l'arcitettura SCADA si basa su sei livelli di operabilità e gli utenti finali hanno accesso solamente agli ulti due con i quali operano ed eseguono interventi o ricerce nel database annesso al sistema.
É qui dove esiste la fase critica, dato che sono interfacciati a SO che girano su macchine Windows.
L'operatore, esperto certamente sul sistema posto in automazione come puó esserlo una centrale elettrica, un servizio idrico, un aereoporto, un trasporto di massa, ecc., per motivi economici ed ottusitá azindale non é ugualmente esperto nel sistema informatico che usa. Ne consegue che nel suo turno giornaliero di controllo danti ai vari monitor la routine e l'automazione del sistema stesso che avvisa con allarmi di vario genere eventuali anomali, induce lo stesso a far uso di una delle postazioni Windows allacciate alla rete del sistema, come svago. Connette quindi la sua pennina al sistema e ascolta la sua musixa in sottofondo o fa girare qualche bel giochino in Flash, scaricato da chissá quale sito: spesso perché tecnico, quindi fico, un qualcosa di craccato o illegale che poi orgoglioso fa vedere e propone ai sui colleghi.
Il sysadministrator, ha un bel daffare per bloccare sulle macchine le funzionalitá non lecite, proprio perchè audio, video browser, sono richiesti come interfaccia a segnali provenienti dallo SCADA. Quasi impossibile operare un controllo su macchine di sesto livello, solitamente in uso a papaveri aziendali molto ing. e dott. ma che adoperano il tutto molto spesso come figli di paparino a cui tutto é concesso.
L'allerta presenta quindi una certa serietá non tanto per i sistemi SCADA in quanto tali, ma dagli utenti finali operanti e che troppo spesso ahimè, sono usati da persone con competenza informatica quasi nulla ma che risiedendo in posizioni di dominio, si danno il lusso di agire come meglio credono.
Questo commento è stato eliminato dall'autore.
Turz: premesso che non sono così esperto, per quanto ho capito è sufficiente che venga visualizzata l'icona. In teoria, in pratica i trojan che gli attacchi di questo tipo cercano di installare dovrebbero essere tutti già riconosciuti dai vari antivirus e quindi di conseguenza bloccati prima dell'esecuzione.

Ci fosse una volta che dicano però questi "piccoli" dettagli che contestualizzano il problema al mondo reale. Certo, su un computer non protetto, se infili la prima chiavetta USB che passa rischi di venir infettato. Ma dai?

Chiudo dicendo che quello che hai correttamente quotato di ISC conferma quanto affermavo precedentemente: il rischio potenziale c'è, ma dato che attualmente non è un rischio concreto possiamo stare tranquilli.
Da quello che ho capito, il meccanismo permette di eseguire un programma a scelta, anche il classico FORMAT C: (esempio stupido); quindi non sarei tanto sicuro che gli antivirus becchino il programma in sè.
Meglio il buon vecchio Command Prompt :)
Turz dixit:

" Da quel che ho capito, il solo aprire la cartella fa sì che l'icona malefica venga visualizzata e il virus si installi. "

è di certo realizzabile un attacco che agisca in tal modo, non vedo perchè non dovrebbe funzionare se la modalità di visualizzazione di cartelle è a "elenco"
@Lanf: se proprio vogliamo essere tranquilli meglio uno tra:

- ZTreeWin

- Unixtree

- GNU Midnight Commander


Tutti più comodi del classico "prompt dei comandi" e versatili quanto una GUI.. si insomma quasi :D
Scusate il doppio commento, dimenticavo di scrivere che i programmi che ho linkato son tutti free e per Windows (anche se la seconda cosa era abbastanza ovvia).
@mousse:
ZTree = FREE 30 day evaluation (poi USD $29.95)
Unixtree=XTree-alike filemanager for Unix/Linux
Il terzo non l'ho provato ...
Ma una toppa seria no, eh?
@Claudio:
La vulnerabilità c'è ed è molto seria.

Solo perchè oggi è si contano circa 9.000 attacchi al giorno, per lo più (o esclusivamente) indirizzati a SCADA Siemens, non vuol dire che domani qualcuno non abbia voglia e motivazione per allestire -chessò- un attacco agli utenti di BancaPippo, o di PayPal, o di gmail.com... scegli tu l'assortimento.
Ormai sono giorni che si conosce su mitre.org, ed ancora non c'è un fix automatico ufficiale MS: mi stupirei che ISC lo sottovalutasse.

Sapendolo, meglio applicare il workaround temporaneo MS.
Il modo migliore per rattoppare Windows è… non usarlo.
;-)
MACINTOSH: Many Applications Crash, If Not The Operating System Hangs

APPLE
Arrogance Produces Profit-Losing Entity

MICRO$OFT
Mac Imitation from a Corrupt Roguish Organization Selling Only Faulty Technology

WINDOWS
Wholly Inadequate Needless Damned Outrageous Waste of Space

Su ZTreeWin lo sto usando da tre anni e non l'ho registrato. Una pagina del sito dice che non ci sono differenze tra la versione "free" e quella registrata.

Riguardo agli altri due, del primo non trovo il download per windows anche se nel sito è elencato. Idem per l'altro :( il che è un vero peccato.
Questo commento è stato eliminato dall'autore.
Per cortesia non non incavolatevi per l'OT, mousse, volevo scriverti privatamente per non tediare, ma non sono riuscito a trovare il modo (sono una frana :-) ) provato ZTreeWin e spostando la data del pc il porgramma mi dice: "evaluation period has ended - please register" e si chiude. Forse la versione di tre anni or sono era free, ora non più ... Se invece tu hai un link alla versione "free" non fare il cattivo, con il beneplacito del titolare del sito, pubblica, grazie
@Lorenzo: io lo scaricai proprio da quel sito lì. Appena recupero il portatile cerco il file sperando di trovare anche l'installer..
Non mi ero accorto che la cosa era indicata anche nella pagina da cui scaricare il rattoppo (ecco perchè ho cancellato il precedente commento, in cui me ne lamentavo): quando si installa il fix, le icone rapida nella barra degli strumenti spariscono. I collegamenti funzionano tranquillamente, ma a livello grafico è come se fossero relativi a file inesistenti; la stessa cosa avviene, qua e là, per alcune applicazioni.

Alla fine ho eliminato il fix, perchè comunque è abbastanza scomodo come effetto collaterale. Non ho capito se esiste un modo per eliminarlo. Meno male che con gli aggiornamenti microsoft la filosofia doveva essere "nel dubbio installa"...
è appena uscito l'hotfix per questa vulnerabilità
si è installato da solo attraverso windows update.