Symantec: Bits può essere usato per il download di malware

Sotto i riflettori la potenziale pericolosità di Bits (Background Intelligent Transfer Service), componente di Windows Xp e Vista.

Bits ("Background Intelligent Transfer Service") è un componente delle più
recenti versioni dei sistemi operativi Microsoft che ha fatto il suo debutto in
Windows XP ed è stato poi successivamente integrato sia in Windows Server 2003
che in Windows Vista.
Il suo obiettivo primario consiste nell'ottimizzare
l'utilizzo delle risorse a disposizione - in particolare, banda di rete - nella
fase di download delle patch e degli aggiornamenti per il sistema
operativo.

Bits consente di effettuare tali procedure in modo
trasparente senza incidere negativamente sulla produttività dell'utente. Il
prelievo remoto dei file necessari viene infatti eseguito nel momento in cui
venga rilevata sufficiente banda disponibile e questa non sia pesantemente
utilizzata.

Bits, inoltre, nel caso in cui la connessione dovesse essere
interrotta od il sistema venga riavviato, è in grado di riprendere la procedura
di download dal punto in cui era rimasta.

"Si tratta di un
componente molto valido che però, supportando il protocollo http ed essendo
programmabile attraverso le API COM, può essere impostato per scaricare
qualsiasi cosa
", ha commentato Elia Florio, ricercatore presso Symantec.

"Sfortunatamente", ha aggiunto Florio, "Bits può essere
configurato, quindi, potenzialmente, anche per il download di malware
".


L'esperto di sicurezza ha osservato come in circolazione vi siano trojan
che si appoggiano a Bits per scaricare codice malware su sistemi già
compromessi. La ragione è semplice: essendo Bits una parte integrante del
sistema operativo, Windows gli attribuisce massima fiducia non relegandolo tra i
paletti imposti dalle regole firewall in uso.

Usando questo espediente,
molti componenti nocivi diventano così in grado di compiere ulteriori attività
pericolose senza ingenerare messaggi di allerta che possono insospettire
l'utente. L'idea di "scavalcare" l'azione dei software firewall non è nuova ma è
certamente inedito l'uso di componenti di sistema per giungere a tale
scopo.

Florio ha fatto notare come al momento non esistano metodologie
per bloccare l'utilizzo non autorizzato di Bits: "è questa probabilmente
l'occasione giusta per apportare alcune migliorie così da rendere il componente
accessibile con un più alto livello di privilegi o ridurre le possibilità di
download ad un ristretto numero di URL
", ha commentato il ricercatore.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here