Cerca nel blog

2009/01/21

Conficker batte anche Windows 7, se l’utente aiuta

Windows 7 vulnerabile a Conficker: è ora di pensionare l'Autoplay?


F-Secure segnala che il trucchetto d'ingegneria sociale usato da Conficker funziona anche con Windows 7.

Se si inserisce una penna USB infetta in una macchina Windows 7, compare la finestra di Autoplay, che chiede all'utente cosa fare. La finestra contiene un'opzione-trappola: è la prima nella figura qui accanto, che sembra essere un invito ad aprire una cartella (dunque un gesto che riteniamo innocuo) ma in realtà esegue Conficker.

In Windows Vista l'opzione-trappola può saltare all'occhio maggiormente, perché la dicitura "Open folder to view files" è sempre in inglese (è hardcoded nella riga Action dell'autorun.inf scritto da Conficker) a prescindere dalla lingua del sistema operativo ospite. Presumo che chi sta collaudando Windows 7 abbia invece scelto la versione inglese, nella quale la trappola si mimetizza molto bene. Quanti, infatti, noteranno che sopra l'icona autentica di Windows c'è scritto "Install or run program"?

The Register suggerisce che visto che Windows 7 è ancora in beta, ci sia ancora tempo per modificare il modo in cui funziona l'Autoplay e renderlo un grimaldello meno efficace, o per eliminarlo del tutto. Credo che saremmo in tanti a rinunciare volentieri alla relativa comodità di questo automatismo in cambio di una maggiore sicurezza.

Intanto arrivano segnalazioni di danni causati da Conficker e soprattutto dalla scelleratezza dei manager responsabili per l'aggiornamento dei computer. Sempre secondo The Register, la rete informatica degli ospedali di Sheffield, nel Regno Unito, ha oltre 800 PC infetti, grazie anche al fatto che era stata presa la decisione di disattivare gli aggiornamenti di sicurezza su tutti e 8000 i PC della rete dopo che nella settimana di Natale i PC di una sala operatoria si erano riavviati nel bel mezzo di un intervento chirurgico. Brr.

Come se non bastasse, un'epidemia di Conficker sembra essere la causa dei guai ai sistemi informatici della Marina Militare britannica. Sì, perché le navi da guerra e i sommergibili di Sua Maestà usano NavyStar/N*, un sistema basato su PC Windows standard. Siamo in buone mani: chi ha bisogno di missili e soldati, quando grazie all'incoscienza dei governanti basta un virus informatico per seminare la confusione nelle forze armate del nemico? Evidentemente nessun ministro della difesa guarda Battlestar Galactica.

Aggiornamento: istruzioni Microsoft sbagliate (2009/01/21)


Il CERT avvisa che le istruzioni di Microsoft per disabilitare l'Autoplay/Autorun sono sbagliate:

According to Microsoft, setting the NoDriveTypeAutorun registry value to 0xFF "disables Autoplay on all types of drives." Even with this value set, Windows may execute arbitrary code when the user clicks the icon for the device in Windows Explorer.

Le istruzioni corrette secondo il CERT sono indicate nell'avviso. Grazie a Luigi per la segnalazione. In sintesi: copiate e incollate le tre righe seguenti nel Blocco Note di Windows e salvatele con il nome autorun.reg.

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"


In Esplora Risorse, fate doppio clic su questo file. Poi riavviate Windows.


Aggiornamento (2009/01/22): Microsoft ha corretto le istruzioni


Microsoft ha pubblicato le istruzioni corrette e aggiornate in inglese; la versione italiana è per ora una traduzione automatica non molto comprensibile.

Nessun commento: