Microsoft ha segnalato come l’installazione di una delle ultime patch rilasciate dal gruuppo potrebbe rivelarsi un autentico dramma informatico per una piccola parte di utenti. Il problema, però, non è insito nella patch, ma piuttosto in altre problematiche che determinano l’impossibilità di riavvio del sistema dopo l’installazione della patch stessa.
La patch sotto accusa è la MS10-015 rilasciata in occasione dell’ultima tornata di aggiornamenti Microsoft del mese di Febbraio. Il problema riscontrato è nell’impossibilità del riavvio del sistema dopo l’installazione dell’aggiornamento: l’utente si trova a dover fronteggiare la famigerata “schermata blu” di errore e non ha dunque la possibilità di accedere correttamente alle proprie risorse. Il problema può verificarsi su Windows 2000, Windows XP, Windows Vista, Windows Server 2008 e Windows 7 32bit (le versioni di Windows coinvolte dalla vulnerabilità, scoperta e segnalata peraltro da Tavis Ormandy dei laboratori Google).
Microsoft ha segnalato la presenza del problema fin dalle prime ore dopo l’aggiornamento ed ha immediatamente spiegato come il problema fosse da ricercarsi altrove. Il gruppo ha comunque attuato immediate precauzioni per impedire agli utenti di incappare nel problema: la distribuzione automatica della patch (giudicata «importante») è stata temporaneamente sospesa e le indagini di approfondimento sono immediatamente iniziate.
In breve il vero problema è stato identificato in un malware. Trattasi nella fattispecie di un rootkit denominato “TDL3/TDSS”, originariamente descritto da Marco Giuliani per Prevx. La rimozione del malware risolve l’intoppo, evita la schermata blu e permette la corretta installazione della patch con conseguente riavvio privo di problematiche. La “Blu Screen Of Death” è originata dal richiamo in avvio di un indirizzo da parte del rootkit, indirizzo che è stato precedente modificato dalla patch al kernel determinando pertanto l’errore ed il blocco dell’avvio del sistema.
Incredibilmente, come segnalato ancora da Giuliani, poche ore dopo la segnalazione dell’incompatibilità tra il rootkit e la patch, l’update è giunto dagli autori del malware i quali hanno aggiornato il codice del rootkit rendendolo a questo punto compatibile con la patch Microsoft. La schermata blu, infatti, è di per sé un danno per gli scopi del malware poiché mette in evidenza l’infezione e costringe l’utente ad una obbligata analisi del sistema alla ricerca del file maligno da eliminare. Prevx segnala infine la diffusione di una nuova versione del rootkit (identificabile nel file z00clicker.dll piuttosto che nel precedente tdlcmd.dll) e mette a disposizione il proprio supporto tecnico per quanti identificassero l’infezione utilizzando i prodotti del gruppo.
In questa fase Microsoft consiglia giocoforza l’installazione della patch al fine di porre rimedio alla vulnerabilità identificata a livello di kernel di Windows. Quanti non intendono installare manualmente l’update numero 15, però, hanno a disposizione un workaround descritto nell’apposito advisory KB979682, nel quale è altresì disponibile un semplice “FixIt” con il quale porre rimedio temporaneo alla falla in attesa di una delle due soluzioni definitive disponibili: un aggiornamento della patch da parte di Microsoft per dribblare il problema o un controllo della salubrità del sistema per verificare la presenza di eventuali infezioni.