Questo articolo vi arriva grazie alle gentili donazioni di "golberto" e "subscrg".
In tutte le versioni recenti di Windows c'è una vulnerabilità, classificata come CVE-2010-2568, che consente di infettarle semplicemente inserendo nel computer una penna USB o tramite una condivisione di rete locale o un documento o un sito Web. Microsoft ha predisposto un rattoppo d'emergenza, l'Internet Storm Center ha emanato un raro allarme giallo preventivo, e sembra che l'attacco sia mirato specificamente a raggiungere e colpire i sistemi SCADA, quelli che gestiscono gran parte delle infrastrutture critiche nazionali. In altre parole, non si tratta del solito virus, ma di un attacco sofisticato con bersagli ben diversi da quelli del crimine informatico tradizionale.
Secondo l'avviso di sicurezza 2286198 di Microsoft, sono vulnerabili Windows XP, Windows Server 2003 e 2008, Windows Vista e Windows 7.
Il problema sta nel modo in cui queste versioni di Windows gestiscono i file di shortcut: si tratta di file che sono collegamenti ad altri file o programmi e sono identificati dall'estensione LNK o PIF. Non è necessario aprire uno di questi file per infettarsi: è sufficiente visualizzarne l'icona, anche se sono stati disattivati AutoRun e AutoPlay.
Gli scenari delineati da Microsoft sono vari: un aggressore può dare alla vittima una penna USB contenente i file LNK o PIF ostili che rimandano a un virus o a un cavallo di Troia, che viene eseguito quando si visualizza il contenuto di questa penna con Esplora Risorse o con qualunque applicazione che gestisca l'icona dello shortcut. Non è necessario il doppio clic per avviare l'esecuzione.
Un aggressore può creare un sito Web o una condivisione di rete e piazzarvi un file di shortcut: quando la vittima visita il sito usando un browser o un file manager come per esempio Esplora Risorse, Windows carica l'icona dello shortcut e viene eseguito automaticamente il virus o cavallo di Troia associato allo shortcut. La vulnerabilità può essere sfruttata anche incorporando uno shortcut in un documento (per esempio nei documenti di Microsoft Office).
I sistemi SCADA presi di mira sono specificamente quelli della Siemens, tramite un cavallo di Troia denominato Stuxnet che cerca di acquisire la password di default del sistema. È chiaro che avere un cavallo di Troia che va a caccia di password su un sistema informatico che gestisce un'infrastruttura vitale (reti elettriche, centrali e simili) non è una bella cosa. Secondo Computerworld, sono stati segnalati attacchi realizzati ai danni di una industria tedesca e di un'organizzazione iraniana e tentativi d'infezione negli Stati Uniti, in Indonesia, India e Iran. Symantec parla di circa 9000 tentativi al giorno. Siemens ha pubblicato delle linee guida per gestire il problema.
Microsoft ha pubblicato un rattoppo che va eseguito manualmente dall'utente, perché non fa parte degli aggiornamenti automatici. Vista la facilità con la quale si può diffondere questo attacco, e visto che l'Internet Storm Center dice che "lo sfruttamento su vasta scala [della vulnerabilità] è solo questione di tempo", è opportuno installare questo rattoppo al più presto su tutti i sistemi Windows e attivare, ove possibile, le restrizioni di esecuzione, in modo che sia consentita l'esecuzione solo da un percorso specifico e non da una penna USB o da altri dispositivi rimovibili.
Fonti: The Register (1, 2), Secunia, ZDNet, Sophos (1, 2, 3, 4).
Nessun commento:
Posta un commento