Una vera e propria epidemia, seppure contenuta negli effetti finali, si è diffusa nei giorni scorsi sul Web attraverso un attacco che non ha precedenti per complessità delle tecniche utilizzate e per gli effetti che avrebbe potuto assumere. Gli esecutori: un gruppo di pirati informatici russi; le vittime: tutti gli utenti di Internet che usano il browser Internet Explorer; lo strumento utilizzato: il web server Microsoft IIS e il browser Microsoft Internet Explorer. Un putiferio, che ha tenuto in apprensione utenti e amministratori di rete per tutto il fine settimana.
Navigando su siti Web ritenuti sicuri, c'era il rischio di trovarsi installato sul proprio sistema Windows un programma in grado di intercettare numeri di carte di credito, password, dati di login di alcuni siti Web. È una nuova tegola che si abbatte su Microsoft, impegnata a rivalutare la sua immagine in tema di sicurezza.
Al centro delle polemiche è proprio l'azienda americana. I pirati hanno infatti utilizzato due vulnerabilità dei software di Microsoft. Delle due vulnerabilità, entrambe note a Microsoft, solamente una era stata corretta per tempo, mentre la seconda attente tuttora la sua correzione.
La prima vulnerabilità riguardava Internet Information Services, il server Web di Microsoft che permette la visualizzazione e la gestione dei siti Web. Questa vulnerabilità era stata già corretta dall'azienda lo scorso 13 Aprile, quando mise in circolazione più di 20 correzioni mandando in tilt il proprio sistema di aggiornamento automatico.
La seconda vulnerabilità, che comprende diversi errori di Explorer, non è stata ancora corretta, ma è nota nelle varianti più pericolose da almeno due settimane, mentre il sistema utilizzato è all'attenzione di chi si occupa di sicurezza dallo scorso Agosto 2003. Per quest'errore il gruppo di sicurezza eEye Digital Security ha rilasciato una patch non ufficiale basata su informazioni ampiamente testate.
Ricostruiamo i fatti, mentre nella pagina successiva forniremo i dettagli su come verificare la presenza dei trojan e rendere immune il proprio sistema operativo.
Sin da martedì 22 giugno nelle mailing list e in alcuni newsgroup dedicati a Microsoft, si cominciano a notare strani comportamenti di alcuni siti Web, appartenenti, sembra, anche ad aziende bancarie e a siti di commercio elettronico. Visitando le pagine Web di questi siti veniva installato un Trojan, chiamato Berbew o Webber o Padodor a seconda delle analisi. Inizialmente si pensava che il trojan fosse uno "spamware", ossia un software utilizzato per creare una rete di computer da utilizzare per inviare e-mail indesiderate (spam).
Dalle analisi del LURHQ Threat Intelligence Group (e successivamente di Symantec), emerge invece uno scenario diverso. Il trojan poteva registrare sul computer le password degli account di E-Bay e Paypal e delle webmail di Earthlink, Juno e Yahoo. Ma non solo: attraverso una falsa popup chiedeva all'utente di inserire anche numeri di carta di credito. I dati raccolti venivano poi inviati attraverso una finestra nascosta ad un sito che le raccoglieva.
I siti Web "untori" erano stati attaccati in precedenza e programmati, attraverso un altro trojan, per inviare ad ogni utente, assieme alle normali pagine Web, anche un JavaScript, il quale provvedeva ad installare il trojan Berbew. La vulnerabilità con cui sono stati compromessi i Web Server è ancora poco chiara. Microsoft ha riportato che si tratta della vulnerabilità, un buffer overrun, al Private Communications Transport (PCT) che fa parte della libreria SSL di Windows. La vulnerabilità affligge tutti i principali sistemi server di Microsoft: da IIS 4 a Microsoft Exchange Server a Microsoft Analysis Services e tutti quei programmi che utilizzano la stessa libreria. Microsoft ha corretto questa vulnerabilità con la patch segnata MS04-11, emessa il primo aprile.
I siti Web così programmati inviavano agli utenti un JavaScript in grado di essere eseguito sul computer dell'utente. Il JavaScript sfruttava a sua volta una nuova vulnerabilità di Internet Explorer, questa volta non corretta dall'azienda di Redmond ma a lei nota da tempo, che forzava il computer a scaricare ed eseguire da un sito Web collocato in Russia, subito spento, il trojan, che veniva così installato sul computer dell'utente.
I web server compromessi dal trojan, chiamato da Symantec Scob, possono essere rilevati da un'analisi delle proprietà dei siti Web configurati nel Web Server. Aprendo la Microsoft Management Console di IIS, l'ambiente in cui vengono creati e gestiti i siti Web, si dovrà verificare se nei siti Web configurati sia stato aggiunto un documento "a piè di pagina", come lo chiama Microsoft, da inviare in automatico. Cliccando sulla linguetta "Documenti" bisognerà verificare se nel campo "Abilita piè di pagina documento" sia stata inserita una riga del tipo: C:WinntSystem32InetsrvIis746.dll (al posto del numero 746 possono esserci tre numeri o lettere casuali).
Per rendere immuni i propri sistemi si deve installare la patch segnalata nel bollettino MS04-11 attraverso il sistema Windows Update oppure scaricandola dal sito Web Microsoft a seconda del proprio sistema operativo.
Per verificare se il proprio computer è stato infettato dal trojan Berbew bisogna aprire il registro di configurazione e verificare la presenza di alcuni valori:
- Nella chiave HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionShellServiceObjectDelayLoad il valore "Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
- Nella chiave HKEY_CLASSES_ROOTCLSID{79FEACFF-FFCE-815E-A900-316290B5B738}InProcServer32 i valori "(Default)" = "directory_di_sistema/******32.dll" e "ThreadingModel" = "Apartment" (al posto degli asterischi possono esserci caratteri casuali mentre directory_di_sistema indica la variabile directory di sistema di Windows).
Si può anche verificare la presenza del trojan cercando nel proprio sistema il file surf.dat. Se presente, il vostro computer potrebbe essere infettato dal trojan.
Cancellando i valori si eviteranno le azioni del trojan. Per rimuoverlo del tutto è bene utilizzare un antivirus aggiornato. Per rendere immune il proprio sistema dall'installazione di questo trojan o di altri programmi che potrebbero compromettere il sistema operativo bisogna aspettare il Service Pack 2 di Windows XP di prossimo rilascio oppure installare la patch non ufficiale rilasciata da eEye Digital Security.
[Aggiornamento: Il 2 luglio Microsoft ha rilasciato un aggiornamento in grado di risolvere il problema. La patch esegue le stesse operazioni di quella non ufficiale segnalata sopra].
Microsoft continua ad indagare sul problema. Tutti i webserver compromessi sinora identificati non avevano installato la patch MS04-11 o non avevano riavviato il sistema dopo l'installazione. Tuttavia alcuni esperti di sicurezza inizialmente avevano ipotizzato che l'attacco era stato sferrato con uno zero-day exploit, basato su una vulnerabilità sconosciuta. Microsoft prega gli amministratori di sistema che avessero patito il problema su un web server patchato di comunicare i propri problemi al numero italiano di supporto tecnico (02/70398398).
Riferimenti