Symantec: BITS può essere usato per il download di malware

BITS (“Background Intelligent Transfer Service”) è un componente delle più recenti versioni dei sistemi operativi Microsoft che ha fatto il suo debutto in Windows XP ed è stato poi successivamente integrato sia in Windows Server 2003 che in Windows Vista. Il suo obiettivo primario consiste nell’ottimizzare l’utilizzo delle risorse a disposizione – in particolare, banda di rete – nella fase di download delle patch e degli aggiornamenti per il sistema operativo. BITS consente di effettuare tali procedure in modo trasparente senza incidere negativamente sulla produttività dell’utente. Il prelievo remoto dei file necessari viene infatti eseguito nel momento in cui venga rilevata sufficiente banda disponibile e questa non sia pesantemente utilizzata. BITS, inoltre, nel caso in cui la connessione dovesse essere interrotta od il sistema venga riavviato, è in grado di riprendere la procedura di download dal punto in cui era rimasta.
“Si tratta di un componente molto valido che però, supportando il protocollo http ed essendo programmabile attraverso le API COM, può essere impostato per scaricare qualsiasi cosa”, ha commentato Elia Florio, ricercatore presso Symantec. “Sfortunatamente”, ha aggiunto Florio, “BITS può essere configurato, quindi, potenzialmente, anche per il download di malware”. L’esperto di sicurezza ha osservato come in circolazione vi siano trojan che si appoggiano a BITS per scaricare codice malware su sistemi già compromessi. La ragione è semplice: essendo BITS una parte integrante del sistema operativo, Windows gli attribuisce massima fiducia non relegandolo tra i paletti imposti dalle regole firewall in uso.
Usando questo espediente, molti componenti nocivi diventano così in grado di compiere ulteriori attività pericolose senza ingenerare messaggi di allerta che possono insospettire l’utente.
L’idea di “scavalcare” l’azione dei software firewall non è nuova ma è certamente inedito l’uso di componenti di sistema per giungere a tale scopo.
Florio ha fatto notare come al momento non esistano metodologie per bloccare l’utilizzo non autorizzato di BITS: “è questa probabilmente l’occasione giusta per apportare alcune migliorie così da rendere il componente accessibile con un più alto livello di privilegi o ridurre le possibilità di download ad un ristretto numero di URL”, ha commentato il ricercatore.