Questo periodo di vacanze è uno dei periodi più critici per gli attacchi alla sicurezza delle infrastrutture informatiche, perché il livello di attenzione è solitamente più basso e i tempi di reazione sono molto più estesi.

È il caso del Worm.Conficker, che da un mese a questa parte si sta diffondendo nelle reti aziendali e su internet sfruttando principalmente la vulnerabilità pubblicata da Microsoft con il bollettino di sicurezza MS08-067.

Una nuova variante è stata isolata a fine anno, interessante perché tenta più vie di diffusione e blocca l’accesso ai siti internet delle società di sicurezza. » Read more: Conficker si diffonde nelle aziende

Siamo in chiusura di questo 2008. Un anno interessante dal punto di vista della sicurezza informatica. Numerosi eventi, anche molto importanti, sono accaduti. Basta ricordare, tra i tanti, la scoperta (o meglio, l’identificazione, visto che la tipologia di attacco era già nota da tempo) dell’attacco clickjacking oppure la grave falla dei DNS.

Come già fatto per il 2006, ripropongo quest’anno un breve report delle principale minacce a livello di malware riscontrate durante il 2008, con accenni a possibili evoluzioni nel 2009 dei malware e dei prodotti di sicurezza.

Il pdf, è scaricabile da qui: 2008: Il web si tinge di giallo.

Auguro a tutti una buona lettura e, soprattutto, un nuovo anno che sia ricco di felicità e di serenità – anche, perché no, dal punto di vista informatico.

La scorsa settimana è stata settimana di update per Microsoft, che ha rilasciato otto aggiornamenti di sicurezza per i propri prodotti. Ciò non è però bastato per evitare un attacco 0day ad Internet Explorer, che è stato isolato il giorno seguente gli aggiornamenti.

L’attacco è tutt’ora utilizzato e non esiste al momento un aggiornamento risolutivo del problema, la vulnerabilità è ancora in fase di analisi.

L’exploit sfrutta un errore di Internet Explorer nella gestione del DCOM Data Binding e non, come erroneamente dichiarato da alcuni siti online, un errato comportamento del parser XML.

L’errore è stato identificato in uno use-after-free, cioè l’utilizzo di una o più determinate zone di memoria dopo che queste siano state deallocate e non più utilizzate. Solitamente questo errore consiste nel lasciar puntare ad uno o più puntatori – che inizialmente puntano ad determinata una zona di memoria allocata – ancora la stessa zona di memoria dopo che questa sia stata liberata. Di conseguenza, si rischia la sovrascrittura di dati importanti – se la zona di memoria in questione è stata già riutilizzata – con la conseguenza di possibili crash, sino anche alla possibile esecuzione di codice malevolo.

Alcune pagine web, volutamente malformate, permettono così di istruire Internet Explorer a scaricare e ad eseguire codice nocivo.

Al momento gli exploit pubblici colpiscono esclusivamente Internet Explorer 7, ma Microsoft ha specificato che tutte le versioni di Internet Explorer sono vulnerabili.

Se non esistono patch al momento – sia Windows Vista SP1 che Windows XP SP3 totalmente aggiornati sono vulnerabili – esistono però alcuni workaround che permettono di limitare il problema.

Il primo è l’utilizzo della tecnologia DEP per limitare il problema. Nel caso di Vista, Internet Explorer 7 di default ha la funzionalità DEP disattivata, mentre la versione la versione a 64 bit di Vista ha attivato il DEP su tutti i processi. Per attivare il DEP nella versione a 32 bit di Vista è necessario eseguire Internet Explorer come amministratore, andare dunque su Strumenti – Opzioni Internet – Avanzate – Attiva la protezione della memoria per contrastare gli attacchi da Internet.

Il DEP deve chiaramente essere supportato da un processore che gestisca la tecnologia NX Bit (o XD Bit).

Un’alternativa può essere l’utilizzo di software che prevengono gli attacchi causati dall’esecuzione di codice da zone di memoria adibite ai dati. Un esempio è il programma free Comodo Memory Firewall.

Un altro workaround è la configurazione in Internet Explorer dell’area di navigazione Internet e Intranet su Alta, così da richiedere l’autorizzazione per l’esecuzione dell’Active Scripting. Altrimenti, se si utilizza una configurazione manuale di Internet Explorer, configurare l’Active Scripting in modo tale da chiedere l’autorizzazione prima di eseguire script.

Un altro workaround è la disabilitazione della funzionalità XML Data Island, eliminando la seguente chiave di registro: HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}.

Su Windows Vista e Windows Server 2008 è necessario eseguire Regedit come amministratore prima di effettuare i seguenti cambi ed assegnare i diritti della chiave di registro. Eseguito Regedit, andare alla chiave di registro HKEY_CLASSES_ROOT\CLSID\{379E501F-B231-11D1-ADC1-00805FC752D8}, tasto destro sulla chiave, poi cliccare su Autorizzazioni – Avanzate – Proprietario – cambia proprietario all’amministratore. Fatto questo, eliminare la chiave in oggetto.

Un altro – seppur drastico – workaround è la disabilitazione della dll oledb32.dll attraverso il comando:

Regsvr32.exe /u “%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll”

Per i sistemi a 64 bit, i comandi sono invece:

Regsvr32.exe /u “%ProgramFiles%\Common Files\System\Ole DB\oledb32.dll”
Regsvr32.exe /u “%ProgramFiles(x86)%\Common Files\System\Ole DB\oledb32.dll”

Chiaramente quest’ultimo workaround è particolarmente drastico, perché tutti i programmi che utilizzano le funzionalità della libreria oledb32.dll non funzioneranno più correttamente.

Al momento tutti i malware individuati che sono stati utilizzati in attacchi web con questo exploit sono stati euristicamente bloccati da Prevx Edge senza alcun problema. Inoltre, in Windows Vista con UAC attivato e Internet Explorer 7 in modalità protetti, i danni sono comunque limitati grazie alla protezione dell’account utente e al livello di integrità, che riescono a prevenire gravi danni al sistema.

Microsoft ha rilasciato il bollettino identificato come 961051.

In questi giorni è stato alzato un gran polverone per un bollettino di sicurezza apparso sul sito della Apple nel quale la società di Cupertino consigliava l’utilizzo di software antivirus per aggiungere più livelli di sicurezza al proprio sistema operativo OSX e rendere più difficile la scrittura di malware da parte dei malware writer.

Bollettino scomparso dal sito stesso della società dopo pochi giorni – e dopo notevoli polemiche in tutta la comunità informatica – e rimpiazzato da un annuncio in cui Apple afferma si trattasse di un vecchio articolo e che, in realtà, i Mac non necessitano di software antivirus perché sono progettati con tecnologie di sicurezza che forniscono già di proprio la protezione contro software malevoli.

Un’affermazione discutibile, sicuramente, come la stessa società di sicurezza F-Secure ha commentato nel proprio blog. Il problema è che quando si va a toccare l’argomento sicurezza in sistemi operativi diversi da Windows, immediatamente si alza un polverone a scudo protettivo. » Read more: MacOS X è totalmente sicuro?

Lavorando nel settore della sicurezza informatica e nella ricerca di malware mi capita spesso di leggere comparative e test di software antivirus tenuti da compagnie o siti web piu o meno famosi. Ultimamente il trend sembra essere quello di redigere comparative indipendenti per mostrare come i software di sicurezza reagiscano male alle nuove minacce informatiche.

Ogni giorno vengono creati migliaia di nuovi codici malevoli utilizzati spesso per attacchi mirati, uno dei fenomeni di primaria importanza da controllare per ogni società di sicurezza.

L’ultimo articolo che ho letto riguardo l’efficacia di soluzioni antivirus è redatto dalla società di sicurezza FireEye, nel proprio blog ufficiale. Sebbene l’articolo sia molto interessante e ben scritto, sarei stato personalmente molto più attento nel trarre le conclusioni finali.

L’opinione dell’autore dell’articolo è che le soluzioni di sicurezza siano efficaci contro malware più vecchi rispetto che contro i nuovi malware, dove la percentuale media di inviduazione è di un 40% dei prodotti. Essenzialmente, le parole dell’autore sono: “gli AV sono verosimilmente in grado di individuare un bot realmente in azione meno della metà delle volte“.

Sebbene condivida che l’individuazione e il blocco di nuove minacce sia una sfida molto difficile, perché necessita di tecnologie di prevenzione e engine euristici particolarmente efficaci, tuttavia mi sorgono parecchi dubbi sulle conclusioni raggiunte.

Dove non concordo assolutamente è l’utilizzo del servizio online VirusTotal come tool primario per verificare l’efficacia dei prodotti antivirus. VirusTotal è un utile servizio che permette di ottenere alcune statistiche, non può assolutamente essere utilizzato come strumento per la stesura di comparative e come metro di giudizio dell’efficacia di antivirus.

Purtroppo un bel numero di quelle che si definiscono come “comparative indipendenti” fanno riferimento ai risultati ottenuti da VirusTotal per giudicare un prodotto antivirus.

L’individuazione di nuovi malware sganciandosi dall’utilizzo di signature è un tema particolarmente caldo che è stato ampiamente discusso anche all’interno di conferenze internazionali. Chiunque lavori nel settore della sicurezza informatica sà che, ad oggi, l’individuazione per mezzo di firme virali non è più sufficiente. Lo sviluppo di nuove tecnologie per prevenire e bloccare attacchi mirati e nuovi malware è uno dei principali obiettivi di ogni produttore di software di sicurezza informatica. Non potrebbe essere differente.

Per noi alla Prevx è il nostro primo obiettivo. Appena rilasciato Prevx Edge, molti utenti ci hanno comunicato come Edge sia riuscito a bloccare nuove minacce anche se, scansionati su VirusTotal, questi file sospetti non erano individuati dall’engine Prevx incluso nello scanner online VirusTotal.

Un esempio su tutti: un famoso sito web è stato attaccato qualche giorno fa e la home page è stata modificate inserendovi all’interno del codice malevolo. Mentre molti utenti hanno testato il malware su VirusTotal traendo le conclusioni errate, Prevx Edge è stato in grado di bloccare euristicamente l’infezione dall’inizio.

Questo perché molte nuove tecnologie euristiche che utilizziamo non possono essere incluse in uno scanner on-demand, il quale controllerà esclusivamente se in un file è riscontrabile una precisa signature.

Questa è la situazione per Prevx, ma è anche una situazione comune per molte altre società di sicurezza. Spesso gli antivirus includono nuove tecnologie – behavior blockers, heuristic behavior analyzers, dynamic heuristic engine e così via – che sono utilizzate per mitigare (o addirittura colmare, la maggior parte delle volte) il gap che si viene a formare tra la creazione di un malware e il rilascio di firme virali.

Se qualche volta, analizzando un file su VirusTotal, viene fuori qualche individuazione euristica, ciò non implica necessariamente che tutta la tecnologia euristica di un determinato prodotto è stata inclusa nello scanner on-demand. Semplicemente, ci sono alcune tecnologie che non possono essere incluse in uno scanner on-demand. Ciò però non toglie che queste tecnologie giochino un ruolo cruciale nell’intercettazione di attacchi 0day.

Fare riferimento esclusivamente ai risultati di VirusTotal rischia di far perdere la reale efficacia delle soluzioni antivirus testate.

Questo è il motivo per il quale utilizzare VirusTotal per redigere comparative e test di prodotti antivirus è un approccio sbagliato.

Prevx Blog