Il ricercatore offre uno strumento per nascondere i malware in .Net

Un ricercatore di sicurezza informatica ha rilasciato uno strumento aggiornato che può semplificare il posizionamento di software dannoso difficile da rilevare nel framework.Net di Microsoft su computer Windows.

Lo strumento, denominato.Net-Sploit 1.0, consente per la modifica di.Net, un software installato sulla maggior parte delle macchine Windows che consente ai computer di eseguire determinati tipi di applicazioni.

Microsoft crea una suite di strumenti di sviluppo per i programmatori per scrivere applicazioni compatibili con il framework. Offre agli sviluppatori il vantaggio di scrivere programmi in diversi linguaggi di alto livello che verranno eseguiti su PC.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

.Net-Sploit consente a un hacker di modifica il framework.Net su macchine mirate, inserendo software dannoso in stile rootkit in un luogo non trattato da software di sicurezza e dove poche persone di sicurezza penserebbero di guardare, ha detto Erez Metula, l'ingegnere della sicurezza del software per 2BSecure che ha scritto lo strumento.

"Sarai stupito di quanto sia facile escogitare un attacco", ha detto Metula durante una presentazione alla conferenza sulla sicurezza di Black Hat ad Amsterdam venerdì

. Net-Sploit consente essenzialmente a un utente malintenzionato di sostituire un pezzo di codice legittimo all'interno di.Net con uno maligno. Poiché alcune applicazioni dipendono da parti del framework.Net per essere eseguite, significa che il malware può influire sulla funzione di molte applicazioni.

Ad esempio, un'applicazione che ha un meccanismo di autenticazione potrebbe essere attaccata se il framework.Net manomesso dovevano intercettare nomi utente e password e inviarli a un server remoto, ha detto Metula.

.Net-Sploit automatizza alcune delle ardue attività di codifica necessarie per corrompere il framework, accelerando lo sviluppo di un attacco. Ad esempio, può aiutare a tirare una DLL pertinente (libreria di collegamento dinamico) dal framework e distribuire la DLL dannosa.

Metula ha detto che un utente malintenzionato avrebbe già avuto il controllo di una macchina prima che il suo strumento potesse essere utilizzato. Il vantaggio di corrompere il framework.Net è che un hacker potrebbe mantenere clandestinamente il controllo sulla macchina per un lungo periodo.

Potrebbe essere potenzialmente abusato da amministratori di sistemi non autorizzati, che potrebbero abusare dei loro privilegi di accesso per implementare le cosiddette "backdoor" "o malware che consente l'accesso remoto", ha dichiarato Metula.

Il centro di risposta alla sicurezza Microsoft è stato informato del problema nel settembre 2008. La posizione dell'azienda è che dal momento che un utente malintenzionato dovrebbe già avere il controllo su un PC, non c'è un vulnerabilità in.Net. Non sembra che Microsoft abbia intenzione di emettere una soluzione a breve termine.

Almeno un funzionario di Microsoft ha chattato con Metula dopo la sua presentazione, difendendo la posizione dell'azienda. Metula ha detto che non considera il problema una vulnerabilità, ma piuttosto una debolezza, anche se Microsoft potrebbe prendere misure per rendere più difficile un simile attacco.

"Nessuna soluzione a prova di proiettile la risolverà", ha detto Metula.

Inoltre, i vendor della sicurezza dovrebbero aggiornare il loro software per rilevare la manomissione del framework.Net, ha detto Metula … Net non è l'unica struttura applicativa vulnerabile all'attacco, poiché le variazioni potrebbero essere applicate anche ad altri framework applicativi, come Java Virtual Machine (JVM) utilizzata per l'esecuzione di programmi scritti in Java.

Metula ha pubblicato un white paper sulla tecnica e l'ultima versione di.Net-Sploit.