Komputery z systemem Windows nadal były podatne na ataki typu Stuxnet pomimo łatki z 2010 r.

Jeśli w 2010 roku załatałeś swoje komputery z Windows przeciwko exploitom LNK używanym przez Stuxnet i uważasz, że jesteś bezpieczny, naukowcy z Hewlett-Packard mają dla ciebie złe wieści: poprawka Microsoftu była wadliwa.

W styczniu Michael Heerklotz, prywatny badacz, zgłosił prywatnie do Zee Day Initiative (ZDI), że łatka LNK wydana przez Microsoft ponad cztery lata temu może zostać ominięta.

Oznacza to, że w ciągu ostatnich czterech lat atakujący mogli zmienić ustawienia Microsoftu, aby stworzyć nowe Exploity LNK, które mogą zainfekować komputery z systemem Windows, gdy urządzenia pamięci USB zostały do ​​nich podłączone. Jednak nie ma jeszcze żadnych informacji sugerujących, że tak się stało.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Pierwotny atak, który wykorzystał lukę w zabezpieczeniach sposobu wyświetlania ikon dla skrótów (LNK) w systemie Windows , został użyty do rozprzestrzeniania Stuxneta, robaka komputerowego, który sabotował wirówki do wzbogacania uranu w irańskim zakładzie jądrowym w Natanz.

Stuxnet, który jest uważany za stworzony przez USA i Izrael, został odkryty w czerwcu 2010 po tym, jak rozprzestrzenił się poza jego zasięg. zamierzonego celu i zainfekował dziesiątki tysięcy komputerów na całym świecie. Luka LNK, śledzona jako CVE-2010-2568, była jedną z wielu luk w oprogramowaniu, które zostały wykorzystane przez Stuxnet. Microsoft załatał tę lukę w sierpniu tego samego roku jako część biuletynu zabezpieczeń o nazwie MS10-046.

"Aby zapobiec temu atakowi, firma Microsoft wprowadziła wyraźną weryfikację białej listy w MS10-046, wydaną na początku sierpnia 2010 r.," HP naukowcy powiedzieli we wtorek na blogu. "Po zastosowaniu tej poprawki, teoretycznie tylko zatwierdzone pliki .CPL powinny były zostać użyte do załadowania niestandardowych ikon dla linków."

"Ta poprawka się nie udała," powiedzieli. "Od ponad czterech lat wszystkie systemy Windows są podatne na dokładnie taki sam atak, jaki Stuxnet użył do pierwszego wdrożenia."

ZDI zgłosiło obejście łatki LNK znalezione przez Heerklotza dla Microsoftu, które potraktowało to jako nową lukę ( CVE-2015-0096) i poprawiono go we wtorek w ramach MS15-020. Naukowcy z ZDI zamierzają zbadać nową aktualizację, aby sprawdzić, czy istnieją inne możliwe obejścia.

Stosując obejście opublikowane przez Microsoft w 2010 r., Które wymaga użycia edytora rejestru, aby ręcznie wyłączyć wyświetlanie ikon dla plików skrótów, będzie też chronił przed najnowszą wadą, powiedzieli.

Podczas gdy atak LNK został po raz pierwszy wykryty jako część Stuxnet, analitycy bezpieczeństwa z Kaspersky Lab odkryli ostatnio, że inny komputerowy robak o nazwie Fanny używał go od 2008 roku. Fanny jest częścią arsenału złośliwego oprogramowania używanego przez wysoce wyrafinowaną grupę cyberprzestępców, którą Kaspersky uznał za równanie.

Jak ujawnił raport Kaspersky Lab z sierpnia 2014 r., wykorzystanie pierwotnej luki w zabezpieczeniach CVE-2010-2568 pozostało powszechne nawet po aktualizacji Microsoft w 2010 r. , głównie dlatego, że exploit został zintegrowany z bardziej powszechnymi zagrożeniami, takimi jak robak Sality. Od lipca 2010 r. Do maja 2014 r. Kaspersky Lab wykrył ponad 50 milionów wystąpień exploita CVE-2010-2568 na ponad 19 milionach komputerów na całym świecie.