DOUBLE AGENT: LA FALLA DI WINDOWS

Double Agent: la falla di sistema che beffa (anche) gli antivirus.
Da distribure tra i vostri collaboratori!

Un team di ricercatori di sicurezza israeliana della società Cybellum ha evidenzato un nuovo errore in TUTTE le versioni di Windows, da XP a Windows 10, che permette a un cybercriminale di prendere il controllo totale del dispositivo.

► Come si presenta?
L’errore si trova in una funzione vecchia di 15 anni, chiamata “Application Verifier”.
Questo strumento di Windows carica i DLL come processo per permettere agli sviluppatori di testarli rapidamente e di rilevare eventuali errori di sviluppo.
Tuttavia con la creazione di una chiave di registro con lo stesso nome che l’applicazione ha restituito, il cybercriminale può inserire in qualsiasi processo legittimo le proprie DLL personalizzate e prendere il controllo totale della macchina.
Può, tra le altre cose, installare un’entrata nascosta (detta backdoor) o un software dannoso (malware), deviare i permessi, prendere il controllo delle sessioni degli altri utilizzatori…etc.
Per dimostrare la gravità dell’errore di sicurezza identificato, i ricercatori sono riusciti a inserire un codice negli antivirus e di corromperli in modo tale che questi ultimi si comportassero come ransomware e si mettessero anche a crittografare i file sugli hard disk dei computer.
Avrebbero potuto anche semplicemente disattivare gli antivrus, o renderli incapaci di vedere il virus, condurre attacchi DDoS, usarli come proxy per lanciare attacchi alla rete locale, o per distribuire un codice corrotto, o avrebbero potuto servirsene per esportare dei dati.
Possiamo osservare che la dimostrazione si sarebbe potuta fare con qualsiasi programma, compreso lo stesso Windows!
14 produttori di antivirus hanno ricevuto la notifica che hanno circa 90 giorni per apportare le patch necessarie per risolvere l’errore, e sono:
• AVG
• Malwarebytes
• Avast
• Avira
• Bitdefender
• Trend Micro
• Comodo
• ESET
• F-Secure
• Kaspersky
• McAfee
• Panda
• Quick Heal
• Norton
Per quanto ne sappiamo, solo AVG, Kaspersky, Trend Micro and Malwarebytes hanno appoortato le modfiche necessarie per questa data.

> Perchè è preoccupante?
L’errore rilevato dalla società Cybellum è ormai pubblico e i codici per sfruttarlo sono a disposizione della comunità cybercriminale.
La maggioranza dei produttori di antivirus tardano a rendere disponibili le patches.
Se fino a questo momento, non sono ancora stati commessi attacchi nè verificati incidenti con lo sfruttamento di questo errore, è molto probabile che la situazione degenererà velocemente.
Noi ci aspettiamo che la prima ondata di attacchi informatici avverrà nei prossimi giorni, grazie alla semplicità delle conoscenze e attrezzature da mettere in piedi per farli.

► Cosa fare per proteggersi?
Se il vostro antivirus è stato sistemato, effettuate senza indugio l’aggiornamento!
Se invece il produttore del vstro antivirus non ha ancora risolto il problema e patchato il suo software, non c’è niente da fare.
In ogni caso, assicuratevi di effettuare regolarmente il backup dei vostri server e delle workstation conservando almeno tre versoni dei file.

► Cosa fare nel caso insorga un attacco del genere?
Se pensate che la vostra lavoro sia stato danneggiato (messaggi di errore del blocco note o di word quando si tenta di aprire un allegato, funzionamento rallentato o comportamenti anomali), spegnete immediatamente il vostro pc e scollegate la rete informatica.
Procedete a un ripristino completo della posta e dei dati, partendo da un backup sano (una versione precedente alla data di ricezione del virus).
Cambiate la password della vostra postazione di lavro e optate per una password composta dal almeno 8 caratteri (lettere, numeri e simboli).
Allertate le autorità competenti.
Questi passaggi permettono non soltanto di misurare l’ampiezza de danni causati ma soprattuttoo di non prendervi responsabilità nel caso di eventuali azioni legali da parte di terzi.
Depositate anche una denuncia alla polizia.
Idealmente, quest dovrebbe essere fatto al commissariato della città dove si è verificato il crimine.
La denuncia verrà utilizzata come prova per potenziali creditori.

 

Siete stati vittime di un attacco cybercriminale, o avete dubbi sull’efficacia dei vostri dispositivi di backup?

Per maggiori info CONTATTATECI

Il Team Tec Italia e Wooxo

2017-12-11T14:55:26+00:00