Khobe, un malware per Windows XP che bypassa gli antivirus

di |
logomacitynet696wide

Brutto colpo per la sicurezza di Windows: scoperto un pericoloso metodo con il quale è possibile bypassare in sostanza tutti gli antivirus e attaccare Windows XP. I computer con Linux e Mac OS X non sono ovviamente vulnerabili a questo tipo di attacchi: devono ad ogni modo prestare molta attenzione gli utenti che utilizzano Windows XP in ambienti virtualizzati o che avviano i sistemi dalla partizione con il sistema Microsoft.

Alcuni ricercatori del Matousec (un gruppo fondato nel 2006 e che si occupa di sicurezza informatica) hanno scoperto un malware in grado di compromettere la sicurezza di qualunque computer con Windows XP e molti degli attuali software antivirus. La vulnerabilità è denominata KHOBE (Kernel Hook Bypassing Engine) e tecnicamente sfrutta la System Service Descriptor Table facendo in modo che Windows accetti codice malevolo e i software antivirus non interpretino il codice come malware. Sono pochi i software antivirus in grado di proteggere l’utente da questo tipo di attacco: poiché è in sostanza non è possibile cambiare lo “switch”, l’allarme che consente di identificare il codice sotto esame come malevolo. Alcuni tool consentono di bloccare contenuti malevoli prima che il sistema venga attaccato, ma virus sconosciuti riescono ad ottenere accesso al sistema. Non è necessario ottenere i diritti d’amministratore e anche utenti con account limitati sono esposti a tali minacce. Gli attacchi non funzionano correttamente con Windows Vista o 7, ma si tratta di sistemi con una diffusione minoritaria rispetto all’ormai estesissimo Windows XP.

Le macchine con i moderni processori multi-core sono ancora più vulnerabili poiché gli attacker possono “iniettare” nel sistema singoli thread ostili compiendo contemporaneamente più attacchi. Sviluppatori di soluzioni di sicurezza quali F-Secure e Sophos dicono di essere impegnati nel cercare una soluzione ma la nuova vulnerabilità è l’ennesimo duro colpo per l’ambiente Windows. I paesi più a rischio sono quelli in via di sviluppo, poiché in questi Windows 7 è ancora una rarità o gli utenti non possono permettersi di acquistare nuove versioni del sistema operativo. Linux e Mac OS X non sono ovviamente vulnerabili a questo tipo di attacchi: devono ad ogni modo prestare la massima attenzione gli utenti che utilizzano Windows XP in ambienti virtualizzati o che avviano i sistemi Windows dalla partizione del disco con il sistema Microsoft.

[A cura di Mauro Notarianni]