Windows-pc'er forblev udsatte for Stuxnet-lignende angreb trods 2010-patch

Hvis du laver dine Windows-computere i 2010 mod LNK-udnyttelsen, der bruges af Stuxnet, og du troede, du var sikker, har forskere fra Hewlett-Packard nogle dårlige nyheder for dig: Microsofts løsning var fejlfri. forsker Michael Heerklotz rapporterede privat til HP's Zero Day Initiative (ZDI), at LNK-lappen, der blev frigivet af Microsoft over fire år siden, kan omgåes.

Dette betyder, at angriberne i løbet af de sidste fire år kunne have omvendt udviklet Microsofts løsning for at skabe nye LNK-udnyttelser, der kunne inficere Windows-computere, når USB-lagerenheder blev tilsluttet dem. Der er dog ingen oplysninger, der tyder på, at dette er sket.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Det oprindelige angreb, der udnyttede en sårbarhed i, hvordan Windows viste ikoner til genvejstaster (LNK) filer , blev brugt til at sprede Stuxnet, en computerorm, der saboterede uranberigelsescentrifuger ved Irans nukleare anlæg i Natanz.

Stuxnet, som menes at være blevet skabt af USA og Israel, blev opdaget i juni 2010, efter at den spredte sig ud over dens tilsigtet mål og endte med at inficere titusinder af computere rundt om i verden. LNK-sårbarheden, sporet som CVE-2010-2568, var en af ​​flere nul-dage eller tidligere ukendte fejl, som Stuxnet udnyttede. Microsoft patched fejlen i august samme år som en del af en sikkerhedsbulletin kaldet MS10-046.

"For at forhindre dette angreb, indsatte Microsoft en eksplicit hvidlistekontrol med MS10-046, udgivet i begyndelsen af ​​august 2010," HP forskere sagde i en blog post tirsdag. "Når denne patch blev anvendt, var det i teorien kun godkendt .CPL-filer burde have været i stand til at indlæse ikke-standardiserede ikoner til links."

"Patchen mislykkedes", sagde de. "Og i mere end fire år har alle Windows-systemer været sårbare over for det samme angreb, som Stuxnet brugte til indledende implementering."

ZDI rapporterede LNK-patch-bypasset, der blev fundet af Heerklotz til Microsoft, der behandlede det som en ny sårbarhed ( CVE-2015-0096) og fik det tirsdag som en del af MS15-020. ZDI-forskerne planlægger at undersøge den nye opdatering for at se, om der findes andre mulige bypasser.

Anvendelsen af ​​den løsning, der blev offentliggjort af Microsoft i 2010, indebærer at bruge registreringseditoren til manuelt at deaktivere visning af ikoner til genvejsfiler, vil beskytte mod den seneste fejl også, sagde de.

Mens LNK-angrebet først blev opdaget som en del af Stuxnet, fandt sikkerhedsforskere fra Kaspersky Lab for nylig, at en anden computerorm, kaldet Fanny, havde brugt det siden 2008. Fanny er en del af et malware-arsenal, der anvendes af en yderst sofistikeret cyberspionagegruppe, som Kaspersky har kaldt Equation.

Som afsløret af en Kaspersky Lab-rapport i august 2014 forblev udnyttelsen af ​​den oprindelige CVE-2010-2568 sårbarhed udbredt selv efter Microsoft-patchen i 2010 , primært fordi udnyttelsen blev integreret i mere almindelige trusler som sality ormen. Fra juli 2010 til maj 2014 registrerede Kaspersky Lab over 50 millioner forekomster af CVE-2010-2568-udnyttelsen på mere end 19 millioner computere verden over.