Letta 2254 volte 4 novembre 2008 alle 16.22 di netquik Fonte: Varie
MS08-067: Primo Worm "In-the-Wild"
LINK:
Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato isolato "in-the-wild"; lo hanno segnalato varie aziende di sicurezza e l'US-CERT.

Una settimana fa, Microsoft aveva pubblicato il Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostrava l'esecuzione di codice sfruttando la vulnerabilità corretta dall'aggiornamento di protezione critico incluso in MS08-067. L'azienda aveva anche avvertito: "Sebbene non ci siano attacchi su vasta scala a partire da questo nuovo codice exploit pubblico, prevediamo che entro i prossimi giorni e settimane questo codice exploit sia utilizzato probabilmente da nuove versioni del malware sfruttabile per attacchi su vasta scala, ed eventualmente da worm auto-replicanti".

xlink Exploit RCE per Falla MS08-067  -  MS08-067 e Malware: Aggiornamenti  -  Altre 

Nella giornata di ieri, l'azienda di sicurezza F-Secure ha ricevuto segnalazioni della diffusione di un worm capace di sfruttare la vulnerabilità in questione. Dal blog di F-Secure: "Abbiamo ricevuto le prime segnalazioni di un worm capace di sfruttare la vulnerabilità MS08-067 … il payload dell'exploit scarica un dropper che rileviamo come Trojan-Dropper.Win32.Agent.yhi. La componente rilasciata include un DDOS-bot kernel mode che attualmente ha una selezione di target cinesi nella sua configurazione". F-Secure identifica anche la componente worm come Exploit.Win32.MS08-067.g e la componente kernel come Rootkit.Win32.KernelBot.dg. Altri vendor antivirus hanno scelto differenti nomi per rilevare questa nuova minaccia: Exploit.Win32.MS08-067.g (Kaspersky Lab), Exploit:Win32/MS08067.gen!A (Microsoft), Mal/Generic-A (Sophos).

Secondo gli ultimi aggiornamenti pubblicati dal SANS Internet Storm Center, il worm sembra propagarsi sulla la rete locale tramite la porta 445.

Anche PrevX (tramite Marco Giuliani malware analyst dell'azienda) ha analizzato la nuova minaccia "worm". Giuliani scrive: "Era questione di tempo, un arco di tempo più o meno breve, per vedere un vero e proprio worm che sfruttasse la vulnerabilità MS08-067. In queste ore è stato isolato un nuovo malware, denominato KernelBot, di origine molto probabilmente asiatica. Il malware sfrutta la vulnerabilità della quale si parla spesso in questi giorni e alla quale avevo dedicato un articolo precedentemente. I primi sample di questo malware risalgono allo scorso 28 Ottobre. Il worm arriva sottoforma del file 6767.exe o, in alternativa, KernekDbg.exe". Un'analisi dettagliata è disponibile nel blog post su PC al Sicuro.
 non ci sono commenti alla news nel forum
username:   password:
oppure con Log in with FacebookLog In with Google
   ricordami
non fai parte della community?
 Esegui l'accesso per commentare questa notizia nel forum 
 
DUST FROM THE PAST
Come segnalato ieri, Microsoft ha rilasciato un aggiornamento di protezione d'emergenza "out-of-band" per correggere un vulnerabilità isolata nel sistema operativo Windows (tutte le versioni supportat…24 ottobre 2008
Il team Microsoft Security Response Center ha pubblicato un aggiornamento sulla situazione relativa al bollettino MS08-067, rilasciato pochi giorni fa dall'azienda per correggere una vulnerabilità cri…27 ottobre 2008
Microsoft ha pubblicato il nuovo Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostra l'esecuzione di codice sfruttando la vulnerabilità c…28 ottobre 2008
ULTIME NEWS - MS08-067
Microsoft ha pubblicato un nuovo aggiornamento sulla situazione malware che interessa la vulnerabilità critica di Windows corretta con il rilascio del bollettino di sicurezza MS08-067. L'azienda ev… 6 novembre 2008
Un primo codice "worm" programmato per sfruttare la vulnerabilità critica del servizio Server di Windows, corretta recentemente da Microsoft con rilascio straordinario del bollettino MS08-067, è stato… 4 novembre 2008
Microsoft ha pubblicato il nuovo Security Advisory 958963 per informare i clienti della disponibilità di un codice exploit dettagliato che dimostra l'esecuzione di codice sfruttando la vulnerabilità c…28 ottobre 2008
 ONLINE
OSPITI 6
UTENTI 0
VISITE OGGI
73
 VISITE TOTALI
5.873.844
login
username:
password:
oppure con Log in with FacebookLog In with Google
ricordami
Non fai parte della community?
Creative Commons License Valid CSS!Valid HTML 4.01 Transitional
 
NEWS - TRUCCHI - DOWNLOAD - ARTICOLI - SITO - DISCLAIMER
X