Dopo alcuni mesi di relativa quiete, almeno nella sede centrale, oggi abbiamo vissuto un'altro attacco da Virus.
Come al solito ci salviamo da quelli più famosi, ma restiamo vittime di nuove varianti dello stesso solito virusaccio: W32.Spybot. Come sempre, appena esce una nuova variante di questo virus, sembra che siamo noi i primi a sperimentarlo (mi chiedo se i loro creatori utilizzino la nostra rete come mezzo di lancio...).
La cornaca è sempre la stessa:
1. avvisi di traffico anomalo sulla porta 445 dal Networking Team
2. ci chiedono di andare a controllare i computers corrispondenti agli indirizzi IP riportati come sorgenti del traffico. Primo problema: dall'indirizzo IP al numero di stanza spesso ci vogliono ore. La conoscenza di questa informazione così preziosa è frutto di un lavoro assolutamente scoordinato e spesso fortuito. Prima cosa da sistemare: serve un workflow chiaro del processo d'identificazione dei computer sospetti (il Networking Team dovrebbe darsi una mossa su questo!!)
3. il computer (già isolato dalla rete, tramite tempestivo shutdown della porta sullo switch) viene analizzato da noi del Desktop Team:
- processi anomali in esecuzione
- controllo di tutti i meccanismi di avvio automatico (Autorun di Sysinternals è insostituibile!!!)
- rapido scan sui path tipici con l'ultimo Stinger disponibile
- analisi delle porte aperte con netstat -ab
5. Nel frattempo l'Help-Desk ed il Networking Team si occupano del contenimento: si disattivano o isolano tutti i computer che man mano si scoprono essere infetti (spesso a questo punto già conosciamo un metodo per la rimozione manuale del virus, quindi si potrebbe procedere già alla pulizia dei computer infetti, ma per timore della reinfezione si tende ad aspettare che l'Antivirus sia già in grado di bloccare l'infezione)
6. Quando sono disponibile le nuove signatures, si testano, si verifica che il virus viene messo in quarantena e si aggiornano i server Antivirus. Ovviamente si informano gli uffici regionali, si rende disponibile tutta l'informazione acquisita e le nuove signatures.
7. Di solito a questo punto siamo già fuori orario e la maggior parte degli utenti affetti dal virus sono a casa già dimentichi dell'accaduto. Per questo si aspetta il giorno dopo per la pulizia e il ripristino.
Al mattino dopo i computer aggiorneranno i loro Antivirus rapidamente e s'immunizzeranno da questo virus, quelli disconnessi durante l'attacco verrano ripuliti e riconnessi, ma...
...ma ancora non abbiamo risolto il problema principale: come cavolo è entrato il worm?
Come si è propagato? Quali vulnerabilità ha sfruttato?
Rispetto al come è entrato non ci facciamo troppe domande. Si tratta quasi sempre di un computer "non fidato" o sconosciuto (leggi "di un consulente"!!!!) connesso abusivamente alla rete (DHCP, senza port control, accesso ad Internet senza proxy: una pacchia per i worm ivi annidati), oppure qualche p2p, IM, etc... Per ovviare a questo problema una possibile soluzione è quella abbozzata nel post precedente.
Come si è propagato? Va bene alcuni computer abbiamo verificato che erano ampiamente vulnerabili perché mancavano molte patch: alcuni erano stati riaccesi dopo più di un mese (il periodo post-vacanze è terribile per queste cose...), altri non erano "gestiti" e quindi non ricevevano le patch in automatico dal server SUS.
Tuttavia il numero di computer infetti mi fa sospettare che c'è qualcos'altro che non va... è possibile che a centinaia di computer mancavano le patch di Agosto? Se è così, perché i Virus di Agosto (tipo Zotob) non ci hanno fatto un baffo?
Qui sorge un altro problema che andrebbe affrontato: patchare in automatico i client senza avere uno strumento di reporting decente che ti faccia capire quanti computer vulnerabili effettivamente connessi alla rete ci siano, è tempo perso... Bisogna passare da SUS a WSUS: quindi qualcuno deve cacciare fuori i soldi per le licenze di SQL Server (MSDE non regge il numero di client che dobbiamo gestire) oppure dobbiamo installare una batteria di server WSUS.
Vediamo cosa ci dice Symantec del worm che abbiamo trovato: W32.Spybot.WOE:
Spreads by scanning TCP ports 139 and 445, and exploiting the following vulnerabilities:
The Microsoft Windows Plug and Play Buffer Overflow Vulnerability (as described in Microsoft Security Bulletin MS05-039).
The Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability (as described in Microsoft Security Bulletin MS03-026).
The Microsoft Windows Local Security Authority Service Remote Buffer Overflow(as described in Microsoft Security Bulletin MS04-011).
The Microsoft Windows ASN.1 Library Bit String Processing Variant Heap Corruption Vulnerability (as described in Microsoft Security Bulletin MS04-007).
Effettivamente sfrutta diverse vulnerabilità, inclusa quella coperta dalle patches di Agosto. A questo punto è d'obbligo procedere con un'approfondito vulnerability scan di tutta la rete. Senza quest'attività costante di monitoraggio e controllo, non sapremo mai quanto siamo vulnerabili.
Altra priorità: definire delle procedure per il "rientro dalle ferie". Questo è un momento critico in cui molti computer si riaffacciano sulla rete e ci vogliono alcune ore prima che vengano patchati correttamente. In queste ore l'allerta dev'essere massima e bisogna trovare il modo di ridurre questa finestra di vulnerabilità.
Nessun commento:
Posta un commento