Nuovo worm da ultimo bug Microsoft

One giorno dopo che Microsoft ha emesso una rara patch di sicurezza per Windows di emergenza, i cattivi hanno alcuni nuovi modi per sfruttare l'errore.

Venerdì, i ricercatori della sicurezza hanno identificato un nuovo worm, chiamato Gimmiv, che ha sfruttato la vulnerabilità, e un l'hacker aveva pubblicato un primo campione di codice che poteva essere utilizzato per sfruttare la falla sul Web.

Microsoft ha rilasciato la patch più di due settimane prima dei suoi successivi aggiornamenti di sicurezza perché il bug poteva essere usato per creare un attacco worm e Microsoft ha già visto un piccolo numero di attacchi che hanno sfruttato il difetto.

Questa vulnerabilità si trova nel servizio Windows Server utilizzato per connettersi con altri dispositivi sulle reti. Sebbene il software firewall fornito con Windows bloccherà la diffusione del worm, gli esperti di sicurezza temono che il difetto possa essere usato per diffondere infezioni tra macchine su una rete locale, che non sono tipicamente protette da firewall.

E questo è esattamente ciò che il worm Gimmiv è progettato per fare, secondo Ben Greenbaum, un senior research manager con Symantec. "Viene scaricato su un computer di destinazione tramite social engineering e quindi procede alla scansione e allo sfruttamento dei computer sulla stessa rete, utilizzando questa vulnerabilità appena divulgata nel servizio Server", ha affermato.

Il worm carica quindi un software che ruba le password, Sia Symantec che McAfee hanno detto di aver visto solo un numero molto limitato di attacchi basati su questo exploit, ma Symantec afferma che, a partire da giovedì sera, hanno riscontrato un salto del 25% nelle scansioni della rete alla ricerca di potenziali macchine vulnerabili. Questo potrebbe essere il segnale che stanno arrivando altri attacchi.

Lo scenario diventa anche più probabile, in quanto altri strumenti che sfruttano il difetto vengono rilasciati al pubblico. Venerdì, il codice di exploit di esempio è stato pubblicato sul sito di hacker Milw0rm.com e nei prossimi giorni gli hacker dovrebbero spostare quel codice in strumenti di attacco di facile utilizzo.

Greenbaum ha predetto che il codice di attacco sarà presto utilizzato per costruire reti botnet di computer infetti. "Quello che vedremo è che questo attacco viene aggiunto all'arsenale del codice bot", ha detto.

"Una volta che si evolve al punto in cui le persone non devono sapere molto sull'exploit … queste sono le situazioni dove le persone scrivono i worm che fanno un sacco di [danno] ", ha detto il ricercatore di McAfee Craig Schmugar.

Si aspetta che un worm dannoso emerga da questo ultimo bug? "Se la storia è una lezione, allora sì", ha detto.