Tutti i segreti di Sasser
![[img]](/mediamytech/006010004505.jpg)
Le caratteristiche del worm che terrorizza la rete. I retroscena, i pericoli reali e i rimedi possibili e, forse, anche una beffa
Il nuovo worm ha tenuto compagnia degli italiani in più di un telegiornale, guadagnandosi anche le prime pagine dei quotidiani nazionali: è quindi lui il nuovo spauracchio, come lo sono stati Slammer poco più di un anno fa e Blaster lo scorso agosto?
| Terrore dalla rete |
| » Tutto su Sasser |
In aprile, Microsoft ha rilasciato, come di consueto, alcune patch per ovviare a vulnerabilità emerse sui propri prodotti. Tra esse, due hanno subito fatto drizzare le antenne a chi si interessa di sicurezza: la MS04-011 e la MS04-012.
Se la seconda è una vulnerabilità che - pur della stessa famiglia di quella che ha dato il “la” alla nascita di Blaster (tecnicamente, è un bug in un componente Dcom-Rpc) - non ha finora prodotto gravi danni, la prima - a ben vedere - è una raccolta di correzioni per quattordici vulnerabilità differenti.
Quattordici, appunto: pur se raggruppate in un solo file da scaricare, i bug abbracciati dalla patch MS04-011 sono molteplici. E non c’è da stupirsi che - trattandosi per buona parte di problematiche legate ai componenti di rete - qualcuno ne abbia approfittato.
| Virus all’attacco |
| » Tutti gli articoli |
Tuttavia, dopo quello per Ssl, è iniziato a circolare un altro exploit relativo al componente Lsass (Local Security Authority Subsystem Service: si tratta di una interfaccia amministrativa per la sicurezza locale, l’autenticazione per lo specifico dominio e i processi relativi ad Active Directory).
Il componente Lsass si interfaccia con servizi (le Active Directory) specifici per l’azienda, e non per l’utente privato, ma che risultano abilitati lo stesso nelle versioni 2000 e Xp di Windows: una minaccia nei loro confronti equivale dunque a una minaccia verso i privati.
Un errore della libreria lsasrv.dll (relativa ad Active Directory: tecnicamente si parla di sovrascrittura di segmenti di memoria) di Lsass è sfruttato per esecuzione arbitraria di codice remoto; uno dei suoi exploit ha dato origine a una nuova variante del worm Gaobot, potenzialmente molto dannoso ma nella realtà poco diffuso.
Tutto finito, quindi? No: l’amara sorpresa è nel finale. E il finale ha le sembianze del già citato (e ormai noto) Sasser.
Quest’ultimo, in versione originale e con le sue mutazioni B, C e D (quelle note al momento in cui scriviamo) si diffonde compiendo scansioni di indirizzi Ip vulnerabili, puntando alle porte Tcp/445 (utilizzata da sistemi Windows 2000, Xp e 2003 per comunicazioni Server Message Block over Tcp, molto usate per condivisione di file), 5554 (su cui installa un server Ftp necessario per la propagazione su host infettati) e 9996.
Generalizzando, gli effetti di Sasser sono quelli di aumentare il carico della Cpu (a causa dei suoi tentativi di propagazione, molto aggressivi) e di portare al riavvio della macchina mediante il crash del componente Lsass.
Se all’inizio Sasser è stato in parte sottovalutato (società di ricerca autorevoli quali eEye ne avevano svilito il potenziale), nei giorni immediatamente successivi molte aziende che commercializzano strumenti per la sicurezza hanno fatto dietro-front: Symantec ha assegnatoa Sasser.B il quarto gradino della propria scala di pericolosità, Trend Micro indica “high risk” e si è arrivati a parlare di 300 milioni di Pc a rischio.
Il rimedio, per gli utenti Windows (2000, Xp e 2003 Server se Lsass è abilitato: 98/Me sono immuni) passa per l’aggiornamento dei propri antivirus e l’applicazione della patch MS04-011. Sperando tuttavia che quest’ultima funzioni: l’azienda di Redmond ha infatti reso noto che - in particolari circostanze - quest’ultima potrebbe portare al blocco o al malfunzionamento del sistema. Come dire, oltre al danno, la beffa.
Ancora nessun commento.