|
|
|
 |
|
|
| |
Notiziario Marketpress di
Martedì 04 Maggio 2004
|
|
| |
|
|
| |
Pagina5 |
|
| |
TREND MICRO: ALLARME PER LA CONTINUA DIFFUSIONE DELLA FAMIGLIA DEI WORM "SASSER" DICHIARATO OGGI UN ALLARME ROSSO GLOBALE PER LA VARIANTE B, GIÀ SEGNALATA LA C. IL WORM SFRUTTA UNA VULNERABILITÀ DI WINDOWS PROVOCANDO IL CRASH DEL SISTEMA INFETTATO |
|
| |
|
|
| |
Milano, 4 maggio 2004 – Trend Micro, Inc., leader mondiale negli antivirus di rete e nelle soluzioni per la sicurezza dei contenuti e dei servizi Internet, avvisa di una nuova famiglia di worm, chiamata “Worm_sasser”, che si diffonde tramite la scansione casuale di indirizzi Ip e sfruttando una vulnerabilità di “buffer overrun” segnalata recentemente da Microsoft per i sistemi operativi Windows. Chiunque sia connesso ad Internet, comprese le reti aziendali e gli abbonati alle reti a banda larga, possono essere a rischio per questa famiglia di worm. Varianti di questo worm sono state segnalate in parecchi paesi da un capo all’altro dell’Europa, Asia, America Latina e Stati Uniti fin dalle prime ore di Sabato 1 maggio 2004. Anche se “Sasser” non è il primo worm che trae vantaggio dalla vulnerabilità di Microsoft, tuttavia si distingue perché usa un efficace metodo di propagazione per diffondersi in modo ampio e a un tasso esponenziale. Worm_sasser sfrutta la vulnerabilità di Windows “Local Security Authority Subsystem Service” (Lsass), un buffer overrun che permette l’esecuzione di codici remoti permettendo a un attaccante di ottenere il pieno controllo dei sistemi infettati. Per propagarsi, le varianti di “Sasser” ricercano in modo casuale gli indirizzi Ip dei sistemi vulnerabili. Quando il sistema vulnerabile viene trovato, il malware invia un messaggio che produce un buffer overrun in Lsass.exe, con l’effetto di causare il crash del programma e richiedere il riavvio di Windows. Utilizzando gli indirizzi Ip, Worm_sasser esegue una scansione generale in Internet alla ricerca di sistemi vulnerabili e li può cercare all’interno di interi segmenti di rete. L’infezione cresce in modo esponenziale poiché ogni sistema infetto può potenzialmente essere utilizzato per cercare altri sistemi vulnerabili. “Molte infezioni possono condurre ad un traffico di rete così alto da rallentarlo in modo grave, fino ad un “denial-of-service” interno” afferma Joe Hartmann, senior virus researcher e analista per Trend Micro, Inc. La vulnerabilità di Lsass è stata riportata la prima volta il 13 Aprile del 2004 ed era utilizzata da una variante del worm Agobot (Worm_agobot.jf), rilevato 16 giorni dopo. Al confronto del worm ‘Blaster’ (Agosto 2003) che impiegò 26 giorni dalla vulnerabilità alla crisi virus, c’è una sempre maggior riduzione del margine di tempo fra la vulnerabilità e il suo sfruttamento. Anche il worm “Blaster” era in grado di trovare vittime attraverso indirizzi Ip casuali e sfruttare vulnerabilità conosciute. Il Worm_agobot.jf si propagava attraverso la rete attraverso selezionate condivisioni di rete Smb, il che può spiegare perchè non si è diffuso in maniera estesa. Worm_sasser.a arriva come allegato di 16Kb . Attacca Windows 95, 98, Me, Nt, 2000 e piattaforme Xp. I clienti Trend Micro sono protetti grazie al pattern file 883 o successivi, mentre i clienti degli Outbreak Prevention Services dovrebbero scaricare la Opp 112 o successive per assicurarsi che i loro sistemi siano protetti contro la diffusione di quest’ultima minaccia. Per gli utenti dei Damage Cleanup Services, il Damage Cleanup template # 334 è disponibile per aiutarli nel ripristino automatico dei sistemi colpiti. Utenti di Trend Micro Network Viruswall 1200 possono rilevare questo worm attraverso il pattern #10124. Le vulnerabilità associate sono inoltre descritte nel Vulnerability Assessment pattern # 010. Tutti gli altri utenti dovrebbero utilizzare Housecall, lo scanner gratuito online di Trend Micro, che può essere scaricato all’indirizzo http://housecall.Trendmicro.com/ I clienti sono invitati ad applicare le patch necessarie rese disponibili da Microsoft per affrontare la vulnerabilità di Lsass. Infolink: Http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?vname=worm_sasser.b
|
|
| |
|
|
| |
<<BACK
|
|
|
|
|
|
|
|
