Windows računala ostala su ranjiva na Stuxnetove napade, unatoč zakrpu 2010

Ako ste 2010 patched vaše Windows računala protiv LNK iskorištavanje koristi Stuxnet i mislio si siguran, istraživači iz Hewlett-Packard imaju neke loše vijesti za vas: Microsoft je popravak bio manji.

U siječnju, istraživač Michael Heerklotz je privatno izvijestio HP-ovu Zero Day Initiative (Zero Day Inicijativu) da je zakrpa LNK objavljena od strane Microsofta prije četiri godine može biti zaobiđena.

To znači da su tijekom protekle četiri godine napadači mogli imati obrnuti revizijski Microsoftov popravak kako bi stvorili nove LNK eksploatira koji bi mogli zaraziti Windows računala kada su USB uređaji za pohranu dobili priključen u njih. Međutim, još nema podataka koji sugeriraju da se to dogodilo.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Izvorni napad, koji je iskorištavala ranjivost u tome kako su ikone prikazane u sustavu Windows za datoteke prečaca (LNK) , upotrijebljen je za širenje Stuxneta, kompjuterskog crva koji je sabotirao centrifuge za obogaćivanje urana u nuklearnom postrojenju u Iranu u Natanzu.

Stuxnet, za kojeg se vjeruje da je stvorio SAD i Izrael, otkriven je u lipnju 2010. ciljani cilj i zaradio desetke tisuća računala širom svijeta. Ranjivost LNK-a, praćena kao CVE-2010-2568, bila je jedna od nultih dnevnih ili prethodno nepoznatih nedostataka koje je Stuxnet iskoristio. Microsoft je popravio pogrešku u kolovozu iste godine kao dio sigurnosnog biltena nazvanom MS10-046. "Kako bi spriječili ovaj napad, Microsoft je stavio eksplicitni popis dopuštenih licenci s MS10-046, objavljenom početkom kolovoza 2010. godine," HP priopćili su istraživači u utorak. "Nakon što je primijenjena takva zakrpa, teoretski samo odobreni .CPL datoteke trebale su biti korištene za učitavanje nestandardnih ikona za veze."

"Zakrpa nije uspjela", rekli su. "I za više od četiri godine, svi Windows sustavi bili su podložni upravo onom istom napadu koji je Stuxnet koristio za početno postavljanje."

ZDI je izvijestio Microsoftovu zakrpu LNK koju je Heerklotz pronašao Microsoftu, a koji su je tretirali kao novu ranjivost ( CVE-2015-0096) i utvrdio je utorak u sklopu MS15-020. ZDI istraživači planiraju pregledati novo ažuriranje kako bi vidjeli postoje li drugi mogući premošćeni predmeti. Međutim, primjenom zaobilaznog rješenja koju je objavio Microsoft u 2010., što uključuje upotrebu urednika registara kako bi ručno onemogućio prikaz ikona za prečace, također će se zaštititi od najnovijih nedostataka, rekli su.

Dok je napad LNK prvi put otkriven kao dio Stuxneta, sigurnosni istraživači iz Kaspersky Laba nedavno su otkrili da je još 2008. koristio još jedan računalni crv Fanny, koji je dio njega. Fanny je dio kao što je otkriveno u izvješću Kaspersky Lab u kolovozu 2014., iskorištavanje izvorne CVE-2010-2568 ranjivosti ostalo je rašireno čak i nakon Microsoftove zakrpe u 2010. godini , prvenstveno zato što je iskorištavanje integrirano u uobičajene prijetnje poput Sality crva. Od srpnja 2010. do svibnja 2014., Kaspersky Lab je otkrio više od 50 milijuna primjeraka eksploatacije CVE-2010-2568 na više od 19 milijuna računala širom svijeta.