Gennaio 2006 

1o gennaio: MS06-001, vulnerabilità del metafile Windows (WMF)

L’anno è iniziato repentinamente con l’individuazione di una vulnerabilità nel motore di rendering della grafica (GRE) di Windows. Mediante la creazione di un apposito metafile Windows (.wmf), un hacker può eseguire codici nocivi su un sistema e assumerne il pieno controllo. Poiché il motore di rendering della grafica si trova su tutte le versioni di Windows e viene usato per visualizzare il relativo contenuto grafico, tutti i sistemi Windows erano aperti a questa vulnerabilità. Nello stesso giorno in cui la notizia veniva divulgata, è stato rinvenuto il primo codice nocivo in grado di sfruttare tale vulnerabilità per la prima volta.

Norman ha incluso nella tecnologia Sandbox la capacità di rilevare gli attuali e i futuri tentativi di sfruttare questa vulnerabilità. Nei giorni successivi, sono stati individuati altri codici nocivi simili, tutti bloccati dalla tecnologia Norman Sandbox. 

5 gennaio: l’attacco Sober 

L’attacco Sober previsto da alcuni esperti per il 5 gennaio non si è verificato, in primo luogo, per alcune imprecisioni di analisi: la comparazione presente nell’ultima variante del virus Sober è "giorno comparazione > 5 gennaio", ossia a partire dal 6 gennaio. Tuttavia, non si è verificato alcun episodio neanche il 6 gennaio né nei giorni a seguire. Il cosiddetto 87o anniversario della nascita del partito nazista ha offerto la possibilità di esagerare la portata dell’evento da parte dell’azienda che lo ha reso pubblico fino a farlo diventare inverosimile. Perché l’autore del virus avrebbe voluto celebrare questo anniversario ogni giorno a partire dal 5 gennaio? 

10 gennaio: MS06-002, vulnerabilità dei tipi di carattere incorporati

Durante la navigazione in Internet, si è spesso portati ad accedere a pagine Web indesiderate a causa di errori tipografici presenti nell’URL del dominio registrato. Con MS06-002, questo fenomeno è diventato maggiormente pericoloso in seguito all’individuazione di una vulnerabilità nella modalità di gestione dei tipi di carattere Web incorporati da parte di Windows. Facendo visitare un sito Web o facendo aprire un messaggio e-mail creato appositamente, un hacker potrebbe eseguire codici nocivi su un sistema e assumerne il pieno controllo.

10 gennaio: MS06-003, vulnerabilità TNEF 

I sistemi degli utenti sono esposti a rischi in caso di apertura di messaggi contenenti allegati MIME in formato TNEF (Transport Neutral Encapsulation Format) o in caso di elaborazione di messaggi di questo tipo da parte dell’archivio informazioni di Exchange Server. Un hacker che invia questi messaggi appositamente creati potrebbe assumere il pieno controllo dei sistemi interessati.

17 gennaio: il pericoloso virus W32/Small.KI 

Da tempo, non si era assistito alla distribuzione di un virus di una tale portata e con un tale effetto distruttivo prima dell’avvento del pericoloso W32/Small.KI, un virus misterioso e quasi innominabile tanto che viene denominato in modo diverso dai vari fornitori di programmi antivirus: Nyxem, MyWife e KillAV, solo per citare alcuni esempi. Il suo potenziale distruttivo è talmente elevato quanto le sue diverse denominazioni: il terzo giorno di ogni mese, a partire dal 3 febbraio 2006, questo virus, identificato come CME-24, danneggia i dati residenti in documenti di Word, fogli di calcolo di Excel, database di Access, presentazioni di Powerpoint, file Adobe in formato PDF, archivi Zip e Rar, ecc.

Febbraio 2006 

3 febbraio: W32/Small.KI, nulla di fatto

Nonostante l’ampia portata di questo virus che avrebbe dovuto far sentire il suo effetto distruttivo il terzo giorno di ogni mese, a cominciare dal 3 febbraio, non si sono registrati episodi di perdita di dati da parte degli utenti. Grazie ad un apposito indicatore esterno, è stato calcolato che il numero di sistemi infettati (o il numero effettivo di connessioni ad una specifica pagina Web) ha raggiunto quota 15.000.000: ciò significa che la maggior parte degli utenti ha adottato adeguate misure precauzionali aggiornando i propri programmi antivirus.

14 febbraio: MS06-004, vulnerabilità WMF 

È stata rilevata un’altra vulnerabilità nell’utilità di gestione delle immagini WMF in grado di consentire l’esecuzione di codici nocivi in remoto, tramite il caricamento di immagini create appositamente, durante la navigazione di siti Web o l’apertura di messaggi e-mail in essi contenute. Questa vulnerabilità, presente nell’utilità di gestione WMF, è diversa dalle precedenti vulnerabilità riscontrate in MS05-053 e MS06-001. 

14 febbraio: MS06-005, vulnerabilità di Windows Media Player

Windows Media Player consente di recuperare bitmap, la maggior parte delle quali si trovano sulle copertine degli album musicali. Se queste copertine vengono create appositamente, è possibile eseguire codici nocivi in remoto. La probabilità di essere esposti a questa vulnerabilità è bassa poiché è richiesto un elevato livello di interazione da parte degli utenti. Inoltre, poiché la maggior parte delle copertine viene pubblicata su siti affidabili dell’industria discografica, è necessario che tali siti vengano attaccati e che la copertina originale venga sostituita da una copertina contenente codice nocivo.

14 febbraio: MS06-006, vulnerabilità del plug-in di Windows Media Player 

Rimanendo nell’ambito di Windows Media Player, è stata rilevata un’altra vulnerabilità nel plug-in corrispondente che riguarda i browser Internet non Microsoft. Il motivo di questa vulnerabilità risiede nella modalità di gestione degli elementi <EMBED> da parte del plug-in di Windows Media Player. Gli elementi <EMBED> sono tag comunemente usati per aggiungere effetti audio alle pagine Web. Un elemento <EMBED> nocivo creato appositamente su un sito Web potrebbe causare l’esecuzione di codice in remoto da browser non Microsoft ad ogni accesso al sito stesso.

14 febbraio: MS06-007, vulnerabilità ad un attacco di tipo Denial of Service su Ping 

Alcuni pacchetti Ping (IGMP) creati appositamente possono causare il blocco dei sistemi interessati con un vero e proprio attacco di tipo Denial of Service. Un attacco di questo tipo può causare il blocco persino di intere reti, se non adeguatamente difese e protette da patch.

16 febbraio: il primo codice nocivo per Mac OSX, OSX/Leap.A 

Per decenni, gli utenti Windows sono stati derisi dagli utenti Macintosh OSX che hanno sempre ritenuto il loro sistema operativo più sicuro e il loro ambiente più intuitivo, fino a quando non è stato rilevato il primo codice nocivo indirizzato ai sistemi OSX. Questo codice sperimentale, identificato come OSX/Leap.A, viene eseguito sui sistemi dei destinatari, ma non è in grado di diffondersi ulteriormente. Per la prima volta, tuttavia, è stato creato un codice nocivo per i sistemi OSX. Molto probabilmente, questo episodio non rimarrà un caso isolato finché non verrà creato un altro codice nocivo per i sistemi OSX.

17 febbraio: il secondo codice nocivo per Mac OSX, OSX/Ingtana.A

E infatti, ad appena un giorno di distanza, è stato rilevato il secondo codice nocivo per OSX, denominato OSX/Ingtana.A. Diffuso tramite Bluetooth, questo worm utilizza una versione demo limitata della libreria Bluetooth in via sperimentale. Se compilato in una versione non limitata, questo worm potrebbe arrecare danni maggiori. Apple ha reso disponibili alcune patch in grado di proteggere i sistemi dalla vulnerabilità CVE ID: 2005-1333, Bluetooth File and Object Exchange Directory Traversal sfruttata da questo worm.

Marzo 2006 

6 marzo: rilevato virus sperimentale per InfoPath 

È stato rilevato un nuovo virus che ha infettato un’altra applicazione di Microsoft Office Suite, InfoPath. Il virus, denominato W32/Icabdi.A, è alquanto interessante poiché basato sulla presenza di applicazioni esterne e sulle autorizzazioni di esecuzione e scrittura da specifiche posizioni sul disco rigido. A causa della scarsa portata e del minimo effetto distruttivo di questo virus sperimentale basato sulla presenza di applicazioni esterne, i rischi apportati sono talmente bassi da diventare trascurabili. Ovviamente, come nel caso di altri virus sperimentali, assisteremo probabilmente al dilagarsi di virus basati su questa tecnica. 

10 marzo: un trojan mascherato dietro la pedofilia

Un brutto giorno, Norman ha identificato un nuovo trojan, risultato insolito per una società che si occupa di sicurezza, poiché questo trojan, una volta installato, visualizza un filmato pedofilo. Questo trojan con videoclip è stato distribuito su Internet tramite vari canali, reti con condivisione di file (tra cui Kazaa) e, probabilmente, persino via e-mail. Denominato W32/Agent.ULL, questo trojan avverte circa l’esplicito contenuto del filmato, ma il videoclip serve da esca per attirare gli utenti a fare clic su di esso.

La sua funzione principale non consiste, tuttavia, nel visualizzare il filmato, ma nell’installare una serie di programmi nocivi che vengono automaticamente scaricati durante la riproduzione del filmato stesso. Il filmato, pertanto, ha lo scopo di distrarre l’utente da altre attività eseguite nel frattempo. I programmi nocivi installati e scaricati comprendono un’intera famiglia di adware e spyware dannosi, insieme a una campagna pubblicitaria su siti Web pornografici.

Una settimana più tardi, Norman ha ricevuto un secondo trojan che visualizza un filmato dello stesso tipo. La speranza è che questo fenomeno non diventi una tendenza, tuttavia, ciò testimonia come i fornitori di adware/spyware possano servirsi di qualsiasi mezzo per distribuire i loro programmi dannosi. 

14 marzo: MS06-012, esecuzione in remoto da MS Office 

Se l’utente ha effettuato l’accesso ad un sistema con diritti di amministratore, un hacker potrebbe assumere il pieno controllo del sistema interessato eseguendo codici nocivi. Questa vulnerabilità è stata classificata da Microsoft come critica poiché esistente in tutte le versioni di Office, incluse quelle per Macintosh.

15 marzo: virus RFID in via sperimentale.

I ricercatori dell’Università di Amsterdam nei Paesi Bassi sono riusciti a infettare un chip RFID (Radio Frequency Identification Device, dispositivo di identificazione in radiofrequenza) con un virus informatico. Finora, si era ritenuto che non fosse possibile infettare i chip RFID a causa della loro limitata capacità di memoria: i ricercatori olandesi hanno dimostrato l’infondatezza di questa convinzione. Le modalità di impiego saranno numerose: i chip RFID verranno integrati in passaporti, cartellini di identificazione bagagli per compagnie aree e dispositivi elettronici, nonché applicati sotto la pelle degli animali, ecc. Benché la creazione del virus dipenda da vari prerequisiti (tra cui le apparecchiature di scrittura dei chip RFID), la pubblicazione del codice potrebbe accelerare la comparsa del primo virus.

21 marzo: il software DRM forza il riavvio a freddo 

La StarForce è una società nota per la creazione di software DRM per l’industria dei videogiochi. È stato rilevato che l’implementazione di questi programmi installa un driver al livello più elevato dei sistemi (ring0). A questo livello, il driver viene sempre caricato ed eseguito, indipendentemente dal fatto che il gioco sia o meno protetto dal software DRM di StarForce. Un driver eseguito a questo livello assume il pieno controllo del sistema. Nel momento in cui rileva un comportamento sospetto che potrebbe far presagire il tentativo di copiare il software protetto, il software DRM forza il riavvio del sistema. Questa operazione viene condotta in modo definitivo: non si tratta di un normale arresto del sistema in cui i dati non salvati vengono memorizzati, ma di un riavvio immediato che determina la perdita di tutti i dati non memorizzati.

22 marzo: i worm e la tecnologia Rootkit 

Gli autori dei worm Bagle hanno introdotto un nuovo livello per le loro ultime creature: la tecnologia Rootkit, a cominciare dal worm W32/Bagle.MD. In tal modo, il worm può essere individuato e rimosso più difficilmente se presente in memoria. L’applicazione della tecnologia Rootkit tramite worm o virus può risultare redditizia per gli autori di programmi dannosi in quanto sono numerosi i sistemi che vengono continuamente infettati dalla diffusione di tali programmi. 

23 marzo: una nuova vulnerabilità in Internet Explorer (CVE2006-1359) 

La modalità di gestione di una chiamata createTextRange() su un oggetto di una casella di controllo da parte di Internet Explorer può costituire un potenziale pericolo. Alcuni siti Web appositamente creati sono in grado di bloccare Internet Explorer in modo da consentire l’esecuzione di codice arbitrario. Il codice attivo in via sperimentale è stato rilevato su almeno 37 siti. Microsoft non ha ancora distribuito una patch per ovviare a tale vulnerabilità. Altri tipi di browser non sono interessati. Una possibile soluzione per gli utenti di Internet Explorer consiste nel disattivare l’esecuzione di script attivo e l’esecuzione di script degli applet Java. Per informazioni su come eseguire questa operazione nelle varie versioni di Internet Explorer, visitare l’indirizzo  http://support.microsoft.com/kb/q154036.

Norman ha incluso il rilevamento generico nei suoi prodotti come JS/Exploit!CVE-2006-1359 e, al momento della stesura del presente documento, ha interrotto lo scaricamento di tutto il materiale proveniente da siti considerati dannosi.