Il rootkit TDL4 sfrutta una falla presa di mira da Stuxnet

Per la giornata di domani è previsto un “patch day” Microsoft di dimensioni “colossali”. Saranno infatti 17 gli aggiornamenti di sicurezza che verranno messi a disposizione, dalla società di Redmond, ad amministratori di sistema e semplici utenti finali per un totale di 40 vulnerabilità complessivamente risolte. Secondo le indiscrezioni trapelate, le patch di domani risolveranno anche una delle falle che è stata sfruttata dagli autori del worm Stuxnet (ved. questi articoli in proposito) per guadagnare i privilegi di amministratore sulle macchine Windows prese di mira. La vulnerabilità è già ben nota in Rete e sul web stanno circolando codici exploit in grado di sfruttarla con successo.

Marco Giuliani, Malware Technology Specialist per Prevx, società anglosassone recentemente acquisita da Webroot, ha rivelato che gli sviluppatori del rootkit TDL, uno dei malware più virulenti e pericolosi che sta imperversando sui sistemi di mezzo mondo (ved. questi articoli), hanno avuto la “brillante” idea di integrare anche il codice nocivo capace di far leva sulla vulnerabilità precedentemente sfruttata da Stuxnet. Il rootkit TDL, già universalmente considerato come uno dei malware più evoluti e ben scritti, ha così iniziato a far leva su una vulnerabilità nota (sarà risolta solamente a partire dalla tarda serata di domani) per “dribblare” le limitazioni imposte da UAC e dall’utilizzo di account utente dotati di privilegi ridotti.

La problematica di sicurezza sfruttata da Stuxnet prima ed ora dalla quarta variante di TDL risiede nella funzionalità di Windows che permette la programmazione degli eventi (Windows Task Scheduler). Una volta mandato in esecuzione, TDL4 iniziare col caricare un proprio driver utilizzando un noto espediente per evitare il rilevamento da parte dei software HIPS di tipo tradizionale.

La minaccia derivante da TDL è assai pericolosa: ricordiamo che gli autori di questo rootkit sono stati i primi ad infettare sistemi Windows a 64 bit (x64) sovrascrivendo il Master Boot Record (MBR) del disco fisso e sostituendolo con una versione modificata ed infetta (ved. questo articolo).

La tempestiva applicazione delle patch rilasciate domani assumerà, quindi, un’importanza cruciale.