Windows BITS può essere utilizzato per scaricare ed eseguire malware

Background Intelligent Transfer Service (BITS) è un componente di sistema introdotto ai tempi di Windows 2000 e Windows XP che ha il compito di ottimizzare il download degli aggiornamenti ed è legato a doppio filo con Windows Update. Con BITS attivato per le attività di trasferimento dei dati si cerca di utilizzare una parte della banda di rete non occupata così da provare a scongiurare situazioni di congestione.
Le API di BITS sviluppate dai tecnici Microsoft consentono anche ad altre applicazioni l’utilizzo del componente di sistema.

Gli esperti di FireEye hanno scoperto che i criminali informatici stanno abusando del servizio BITS per effettuare il download di componenti dannosi sottraendosi al controllo esercitato dalle principali soluzioni antimalware.

Utilizzando il comando bitsadmin è infatti possibile impostare un’attività automatizzata a livello di sistema operativo (anche in Windows 10) chiedendo il prelievo e l’esecuzione di un file o uno script malevolo.

Il fatto è che i riferimenti alle attività svolte da BITS vengono conservati nel file queue manager conservato nella cartella %programdata%\Microsoft\Network\Downloader.
Il contenuto di tale file (in Windows 10 si chiama qmgr.db) viene generalmente ignorato dando per scontato che sia legittimo.

In realtà, come dimostrato da FireEye, non è affatto così e i criminali informatici stanno attivamente usando BITS per scaricare file malevolo sui sistemi delle vittime e memorizzarlo nella cartella di sistema di Windows (ad esempio c:\windows\system32).

Certo, perché BITS possa essere sfruttato per avviare attività dannose è necessario che l’utente esegua un file presentato ad esempio come allegato di un’email oppure pubblicato in una pagina web. In alternativa, specie con le versioni dei browser web non aggiornate, può essere avviato un attacco drive-by-download provocando il download automatico del file malevolo.

Su GitHub è stato pubblicato uno script Python che una volta eseguito si occupa di controllare il contenuto del database queue manager facendo venire a galla riferimenti che non dovrebbero esserci.

Infine, arrestare il servizio BITS e Windows Update per poi riavviarli aiuta a risolvere la maggior parte dei problemi con l’applicazione degli aggiornamenti di sistema: Installazione aggiornamenti windows bloccata: come risolvere.