A Windows PC-k továbbra is sérülékenyek a Stuxnet-szerű támadások ellenére 2010-es javítás ellen

Ha 2010-ben összeállították a Windows számítógépeket a Stuxnet által használt LNK-kizsákmányolás ellen és azt gondolták, hogy biztonságban vagy, a Hewlett-Packard kutatói rossz hírt hoztak neked: a Microsoft javítása hibás volt.

Michael Heerklotz kutató Michael Heerklotz magántulajdonban közölte a Zero Day Initiative-vel (ZDI), hogy a Microsoft által négy évvel ezelıtt kiadott LNK-javítócsomagot megkerülhetjük.

Ez azt jelenti, hogy az elmúlt négy évben a támadók megfordították a Microsoft javításait, Az LNK kihasználja azokat, amelyek megfertőznék a Windows számítógépeket, ha az USB-tárolóeszközök csatlakoztak hozzájuk. Ennek ellenére nincsenek olyan információk, amelyek azt sugallják, hogy ez történt.

[További olvasmány: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Az eredeti támadás, amely kihasználta a Windows ikonjainak gyors elérését (LNK) , felhasználták a Stuxnet-et, egy számítógépes féreget, amely megdöntötte az urándúsító centrifugákat Irán nukleáris létesítményében Natanzban.

A Stuxnet-et, amelyről úgy gondolják, hogy az Egyesült Államok és Izrael létrehozta, 2010 júniusában fedezték fel, tervezett célpont, és végül fertőzött több tízezer számítógépet szerte a világon. Az LNK kiszolgáltatottsága, amelyet a CVE-2010-2568-nak tekintettek, egyike volt a nulladik napi vagy korábban ismeretlen hibák egyikének, amelyeket a Stuxnet kihasználott. A Microsoft az ugyanebben az évben egy MS10-046-as biztonsági közlemény részeként kijavította a hibát.

"A támadás megakadályozása érdekében a Microsoft a 2010. augusztus elején megjelent MS10-046-ra vonatkozó, kutatók szerint egy blogbejegyzést kedden. "Miután ezt a javítást alkalmazták, elméletileg csak a jóváhagyott .CPL fájlokat kellett volna használnia nem szabványos ikonok betöltésére a linkekhez."

"A javítás sikertelen" - mondták. "És több mint négy éve minden Windows rendszer sebezhető ugyanazért a támadásért, amelyet a Stuxnet a kezdeti telepítéshez használt."

A ZDI bejelentette a Heerklotz által talált Microsoft LNK javító bypassot, amely új sérülékenységként kezelte ( CVE-2015-0096), és kedden rögzítették az MS15-020 részeként. A ZDI kutatói azt tervezik, hogy megvizsgálják az új frissítést, hogy lássák, vannak-e további lehetséges elkerülések.

A Microsoft által 2010-ben közzétett kerülő megoldás alkalmazásával azonban a rendszerleíró adatbázis-szerkesztő manuálisan letiltja a parancsikonok ikonok megjelenítését, megvédik a legújabb hibát is, azt mondták.

Amíg az LNK támadást először a Stuxnet részeként fedezték fel, a Kaspersky Lab biztonsági kutatói nemrégiben azt találták, hogy 2008-tól egy másik számítógépes férget, Fanny-t használtak. Fanny részese egy malware arzenál, amelyet a Kaspersky egy egyenletet felismerő, rendkívül kifinomult számítógépes csoport használ.

Amint azt egy 2014 augusztusában közzétett Kaspersky Lab jelentés kimutatta, az eredeti CVE-2010-2568 kiszolgáltatottság kihasználása még a 2010-es Microsoft patch után is széles körben elterjedt , elsősorban azért, mert a kizsákmányolás gyakoribb fenyegetésekbe került, mint a Sality féreg. 2010 júliusa és 2014 májusa között a Kaspersky Lab több mint 50 millió példányban feltárta a CVE-2010-2568-ot a világ több mint 19 millió számítógépén.