Windows-PCer var fortsatt sårbare for Stuxnet-lignende angrep til tross for 2010-patch

Hvis du lappede Windows-datamaskinene dine i 2010 mot LNK-utnyttelsen som ble brukt av Stuxnet, og trodde du var trygg, har forskere fra Hewlett-Packard noen dårlige nyheter for deg: Microsofts løsning var feil.

I januar, forsker Michael Heerklotz rapporterte privat til HPs Zero Day Initiative (ZDI) at LNK-oppdateringen som ble lansert av Microsoft over fire år siden, kan omgå.

Dette betyr at angrepere de siste fire årene kan ha omvendt utviklet Microsofts løsning for å skape nye LNK-utnytter som kunne infisere Windows-datamaskiner når USB-lagringsenheter ble plugget inn i dem. Det er imidlertid ingen informasjon som tyder på at dette har skjedd.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Det opprinnelige angrepet, som utnyttet et sikkerhetsproblem i hvordan Windows viste ikoner for snarvei (LNK) filer , ble brukt til å spre Stuxnet, en datormask som saboterte uranberikingscentrifuger ved Irans kjernefysiske anlegg i Natanz.

Stuxnet, som antas å være opprettet av USA og Israel, ble oppdaget i juni 2010 etter at den spredte seg utenfor sin tiltenkt mål og endte med å infisere ti tusenvis av datamaskiner rundt om i verden. LNK-sårbarheten, spores som CVE-2010-2568, var en av flere nulldager, eller tidligere ukjente, feil som Stuxnet utnyttet. Microsoft lappet feilen i august samme år som en del av en sikkerhetsbulletin som heter MS10-046.

"For å forhindre dette angrepet, skrev Microsoft en eksplisitt vitlistekontroll med MS10-046, utgitt tidlig i august 2010," HP forskere sa i et blogginnlegg tirsdag. "Når patchen ble brukt, var det i teorien bare godkjent. CPL-filer burde ha vært i stand til å laste inn ikke-standardiserte ikoner for koblinger."

"Patchen mislyktes," sa de. "I over fire år har alle Windows-systemer vært utsatt for akkurat det samme angrepet som Stuxnet brukte til første distribusjon."

ZDI rapporterte LNK-patch-bypassen funnet av Heerklotz til Microsoft, som behandlet det som et nytt sårbarhet ( CVE-2015-0096) og fikset det tirsdag som en del av MS15-020. ZDI-forskerne planlegger å undersøke den nye oppdateringen for å se om det finnes andre mulige bypasser.

Ved å bruke løsningen publisert av Microsoft i 2010, som innebærer bruk av registerredigering for å manuelt deaktivere visning av ikoner for snarveifiler, vil beskytte mot den siste feilen, sa de.

Mens LNK-angrepet først ble oppdaget som en del av Stuxnet, oppdaget sikkerhetsforskere fra Kaspersky Lab nylig at en annen datormask, kalt Fanny, hadde brukt den siden 2008. Fanny er en del av et malware-arsenal brukt av en svært sofistikert cyberespionage-gruppe som Kaspersky har kalt Equation.

Som avslørt av en Kaspersky Lab-rapport i august 2014, ble utnyttelsen av det opprinnelige CVE-2010-2568-sårbarheten forblir utbredt selv etter Microsoft-oppdateringen i 2010 , hovedsakelig fordi utnyttelsen ble integrert i mer vanlige trusler som Sality ormen. Fra juli 2010 til mai 2014 oppdaget Kaspersky Lab over 50 millioner forekomster av CVE-2010-2568-utnyttelsen på mer enn 19 millioner datamaskiner over hele verden.