Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato isolato "in-the-wild"; lo hanno segnalato varie aziende di sicurezza e l'US-CERT.
Una settimana fa, Microsoft aveva pubblicato il Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostrava l'esecuzione di codice sfruttando la vulnerabilità corretta dall'aggiornamento di protezione critico incluso in MS08-067. L'azienda aveva anche avvertito: "Sebbene non ci siano attacchi su vasta scala a partire da questo nuovo codice exploit pubblico, prevediamo che entro i prossimi giorni e settimane questo codice exploit sia utilizzato probabilmente da nuove versioni del malware sfruttabile per attacchi su vasta scala, ed eventualmente da worm auto-replicanti".
Nella giornata di ieri, l'azienda di sicurezza F-Secure ha ricevuto segnalazioni della diffusione di un worm capace di sfruttare la vulnerabilità in questione.Dal blog di F-Secure: "Abbiamo ricevuto le prime segnalazioni di un worm capace di sfruttare la vulnerabilità MS08-067 … il payload dell'exploit scarica un dropper che rileviamo come Trojan-Dropper.Win32.Agent.yhi. La componente rilasciata include un DDOS-bot kernel mode che attualmente ha una selezione di target cinesi nella sua configurazione". F-Secure identifica anche la componente worm come Exploit.Win32.MS08-067.g e la componente kernel come Rootkit.Win32.KernelBot.dg. Altri vendor antivirus hanno scelto differenti nomi per rilevare questa nuova minaccia: Exploit.Win32.MS08-067.g (Kaspersky Lab), Exploit:Win32/MS08067.gen!A (Microsoft), Mal/Generic-A (Sophos).
Anche PrevX (tramite Marco Giuliani malware analyst dell'azienda) ha analizzato la nuova minaccia "worm".Giuliani scrive: "Era questione di tempo, un arco di tempo più o meno breve, per vedere un vero e proprio worm che sfruttasse la vulnerabilità MS08-067. In queste ore è stato isolato un nuovo malware, denominato KernelBot, di origine molto probabilmente asiatica. Il malware sfrutta la vulnerabilità della quale si parla spesso in questi giorni e alla quale avevo dedicato un articolo precedentemente. I primi sample di questo malware risalgono allo scorso 28 Ottobre. Il worm arriva sottoforma del file 6767.exe o, in alternativa, KernekDbg.exe". Un'analisi dettagliata è disponibile nel blog post su PC al Sicuro.
non ci sono commenti alla news nel forum
Esegui l'accesso per commentare questa notizia nel forum
Come segnalato ieri, Microsoft ha rilasciato un aggiornamento di protezione d'emergenza "out-of-band" per correggere un vulnerabilità isolata nel sistema operativo Windows (tutte le versioni supportat…24 ottobre 2008
Il team Microsoft Security Response Center ha pubblicato un aggiornamento sulla situazione relativa al bollettino MS08-067, rilasciato pochi giorni fa dall'azienda per correggere una vulnerabilità cri…27 ottobre 2008
Microsoft ha pubblicato il nuovo Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostra l'esecuzione di codice sfruttando la vulnerabilità c…28 ottobre 2008
Microsoft ha pubblicato un nuovo aggiornamento sulla situazione malware che interessa la vulnerabilità critica di Windows corretta con il rilascio del bollettino di sicurezza MS08-067.
L'azienda ev… 6 novembre 2008
Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato… 4 novembre 2008
Microsoft ha pubblicato il nuovo Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostra l'esecuzione di codice sfruttando la vulnerabilità c…28 ottobre 2008
non ci sono commenti alla news nel forum
