SASSER

Da Wikipedia, l'enciclopedia libera.

SASSER è un worm, un tipo di malware. Notato per la prima volta il 13 aprile del 2004 dai tecnici della eEye Digital Security, un produttore americano di software per la sicurezza informatica, ben presto si è diffuso a macchia d'olio.

Sistemi aggrediti[modifica | modifica wikitesto]

Aggredisce i sistemi operativi Windows 2000 e Windows XP, sfruttando un baco del componente LSASS (Local Security Authority Subsystem Service) causando un buffer overflow. Microsoft aveva reso disponibile un aggiornamento del programma il 14 aprile 2004. Il fatto che il worm sia apparso pochi giorni dopo la patch che eliminava l'inconveniente, porta a pensare che esso sia stato realizzato applicando alla patch stessa delle tecniche di reverse engineering e prevedendo di infettare i milioni di computer su cui la patch non era stata installata.

La vulnerabilità sfruttata[modifica | modifica wikitesto]

La falla dei sistemi operativi sfruttata dal virus è localizzata nella porzione di codice di Windows che rende disponibili varie funzioni per l'uso dei servizi di Active Directory sia in locale, sia da remoto. Alcune di queste funzioni generano un file di log chiamato "dcpromo.log", presente in una directory di sistema, a scopo di debug. Ma poiché una delle funzioni adibite alla creazione del log non effettua controlli sulla lunghezza delle stringhe ricevute in input, risulta possibile mandare in buffer overflow il servizio ed eseguire di conseguenza sul Pc aggredito del codice arbitrario con i diritti di sistema. Come se non bastasse, la funzione non controlla se la stringa provenga dal Pc locale o da un host esterno e questo rende possibile l'attacco da un qualsiasi computer connesso al sistema affetto dalla vulnerabilità.

Metodo di aggressione[modifica | modifica wikitesto]

Come molti dei recenti worm, SASSER attacca il computer attraverso un servizio di rete non sufficientemente protetto. Il fatto che possa agire senza la necessità di interagire con l'utente lo rende particolarmente insidioso. D'altro canto, difendersi è piuttosto semplice, in quanto basta configurare correttamente il firewall o installare l'apposita patch che corregge la vulnerabilità.

Il codice del worm, scritto in Visual C++, è contenuto in un eseguibile di 15.872 byte. Tale file, quando entra in un sistema vulnerabile, crea una sua copia nella directory Windows col nome "avserve.exe". Per garantire la propria esecuzione a ogni avvio, il worm inserisce la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run nel registro di sistema. La porta attraverso cui avviene l'attacco è la 445 del protocollo TCP. Gli analisti della Microsoft hanno indicato anche l'uso della porta 139.

Per far sì che non vi siano più copie del proprio codice attive nel sistema, il worm crea un mutex (mutual exclusion object, un oggetto software che permette a più thread di condividere la stessa risorsa) chiamato Jobaka31. Una volta espletate queste funzioni di routine, SASSER attiva la sua procedura di propagazione: crea un server FTP in ascolto sulla porta TCP 5554 e inizia a cercare altre potenziali vittime facendo partire una scansione sulla porta TCP 445 usata da "Lsass.exe". Scopo dello scan è quello di localizzare altri computer affetti della vulnerabilità.

La ricerca impiega indirizzi IP generati casualmente, con una lieve preferenza per gli host appartenenti alla stessa classe di indirizzi del computer infetto. Appena trova un computer potenzialmente vulnerabile, il worm controlla che il sistema operativo sia effettivamente attaccabile, dopodiché sfrutta l'exploit per creare una shell sul sistema remoto. Mediante tale shell, aperta sulla porta TCP 9996, il computer remoto viene costretto a collegarsi al sistema infetto e a scaricare ed eseguire il codice virale (che di solito ha come nome una combinazione di cinque numeri casuali seguiti dai caratteri "_up.exe". Il collegamento avviene grazie al server FTP precedentemente attivato sul Pc infetto. Appena il worm è attivo sul computer remoto, dà nuovamente il via all'azione di propagazione e attacco.

Esistono almeno altre tre versioni di SASSER apparse tutte nei giorni immediatamente successivi alla diffusione dell'originale.

Danni causati[modifica | modifica wikitesto]

Quando è alla ricerca di altri host, SASSER apre contemporaneamente 128 thread di scanning, rubando risorse alla CPU e appesantendo così notevolmente il sistema. Alle volte il worm manda in crash i servizi che tenta di sfruttare, generando così un messaggio di errore. Inoltre nella root C: viene sempre creato un file chiamato "win.log", contenente l'indirizzo IP del computer locale.

Alla sua apparizione SASSER ha causato gravi danni alle reti informatiche mondiali. Fra i casi più importanti citiamo:

  • Il blocco durato alcune ore delle comunicazioni via satellite dell'agenzia France Presse
  • La cancellazione di numerosi voli intercontinentali della compagnia aerea americana Delta Air Lines
  • Sono state inoltre colpiti dal virus computer della guardia costiera britannica, della Sampo Bank finlandese, delle Deutsche Post e della Commissione europea

L'autore[modifica | modifica wikitesto]

L'autore di SASSER è stato identificato nel diciottenne Sven Jaschan, uno studente di informatica di Rotenburg il quale, arrestato il 7 maggio 2004 dopo un'indagine durata tre mesi, ha immediatamente ammesso di essere l'autore di questo worm e di alcune varianti del precedente Netsky. È stato condannato a 21 mesi di reclusione ma, avendo commesso il reato quando era ancora minorenne, la condanna è stata sospesa. Da martedì 9 ottobre 2007 è apparsa sul sito di piratebay il sorgente della 31esima variante di netsky (Netsky.AE).

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Alcuni articoli di Punto Informatico sulla vicenda:

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di Sicurezza informatica