Kaspersky Lab i Microsoft zajedno rešili problem 'zero-day' ranjivosti koju iskorišćava Stuxnet

Vesti, 16.09.2010, 01:21 AM

Kaspersky Lab i Microsoft zajedno rešili problem 'zero-day' ranjivosti koju iskorišćava Stuxnet

Kaspersky Lab je objavio da je zajedno sa kompanijom Microsoft radio na rešenju problema ozbiljne ranjivosti u Microsoft Windows.

Kada je otkrivena, ranjivost je okvalifikovana kao propust 'zero-day' tipa, i bila je korišćena pomoću ozloglašenog crva Stuxnet. Worm.Win32. Stuxnet je neobičan po tome što je u osnovi to alat za industrijsku špijunažu: dizajniran je tako da omogući pristup Siemens WinCC operativnom sistemu koji je zadužen za prikupljanje podataka i praćenje proizvodnje.

Od kada se prvi put pojavio jula 2010. godine, stručnjaci za IT bezbednost su sa velikom pažnjom motrili na Worm.Win32.Stuxnet. Stručnjaci Kaspersky Lab-a su otišli najdalje u istraživanju mogućnosti Stuxnet-a i otkrili su da, pored toga što koristi ranjivost u procesu obrade LNK i PIF fajlova koja je prvobitno otkrivena, Stuxnet takođe koristi i četiri druge ranjivosti u Windows-u.

Jedan takav primer je MS08-067, ranjivost koju je koristio čuveni crv Kido (Conficker) početkom 2009. godine. Ostale tri ranjivosti su ranije bile nepoznate a prisutne su u svim aktuelnim verzijama Windows-a.

Uz MS08-067, Stuxnet takođe koristi još jednu ranjivost za svoje širenje. Ona je prisutna u Windows Print Spooler servisu i može biti iskorišćena za slanje malicioznog koda udaljenom računaru na kojem se onda izvršava. Na osnovu karakteristika ove ranjivosti, infekcija se može širiti na kompjutere pomoću štampača ili preko zajedničkog pristupa jednom štampaču. Pošto se zaraženi računar konektuje na mrežu, Stuxnet tada pokušava da se širi na druge računare.

Čim su eksperti Kaspersky Lab otkrili ovu ranjivost, izvestili su o tome Microsoft. Microsoft je potom analizirao problem i složio se sa nalazima Kaspersky Lab. Ranjivost je označena kao Print Spooler Service Impersonation Vulnerability i okvalifikovana je kao “kritična”. Microsoft je odmah počeo da radi na rešenju ovog propusta i nakon toga objavio zakrpu (patch) MS10-061 14. septembra ove godine.

Kaspersky Lab je otkrio još jednu 'zero-day' ranjivost koju koristi Stuxnet. Ona je označena kao 'Elevation of Privilege' (EoP) ranjivost koju crv može iskoristiti kako bi ostvario potpunu kontrolu nad zaraženim kompjuterom. Sličnu ranjivost EoP-klase otkrili su stručnjaci iz kompanije Microsoft. Obe ranjivosti će biti ispravljene budućim ažuriranjima za operativne sisteme Windows.

Aleksandar Gostev, glavni stručnjak za bezbednost u kompaniji Kaspersky Lab, imao je važnu ulogu u identifikaciji nove pretnje i tesno je sarađivao sa Microsoft-om u rešavanju ovog problema. Aleksandar je kasnije objavio i blog-post o tome. Podaci prikupljeni tokom analize Stuxnet crva, uključujući i detalje o tome kako ranjivosti mogu biti iskorišćene, biće prezentovani na konferenciji Virus Bulletin, koja će biti održana ovog meseca u Kanadi.

"Stuxnet je prvi maliciozni program koji istovremeno iskorišćava čak četiri propusta," kaže Aleksandar Gostev. "Ovo Stuxnet čini zaista jedinstvenim: on je prva pretnja sa kojom smo bili suočeni, koja je sadržala tako mnogo iznenađenja u jednom jedinom programskom paketu. Ova nova ranjivost bi bila pravo bogatstvo za hakere da je nismo otkrili. S obzirom da Stuxnet takođe koristi Realtek i Jmicron digitalne sertifikate - a imajte na umu i da je on prevashodno dizajniran tako da krade podatke uskladištene u Simatic WinCC SCADA - sve ovo ovu pretnju čini bez presedana. Na kraju, mora se priznati da su autori ovog malware-a pokazali izvandredne programerske veštine."

Svi Kaspersky Lab proizvodi uspešno detektuju i neutralizuju Worm.Win32.Stuxnet.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ne otvarajte sumnjive emailove: Infekcije kripto-malverom CryptoWall u porastu

Ne otvarajte sumnjive emailove: Infekcije kripto-malverom CryptoWall u porastu

Broj infekcija ransomwareom CryptoWall (Win32/Crowti) iznenada je porastao ovog meseca, upozorio je Microsoftov Centar za zaštitu od malvera (MMPC). ... Dalje

Drupal tim: Ako niste primenili zakrpu za Drupal 7 odmah, smatrajte vaše sajtove kompomitovanim

Drupal tim: Ako niste primenili zakrpu za Drupal 7 odmah, smatrajte vaše sajtove kompomitovanim

Administratori sajtova koji koriste Drupal 7, jedan od najpopularnijih sistema za upravljanje sadržajem, trebalo bi da smatraju svoje sajtove komprom... Dalje

Oprezno: Email obaveštenje o gašenju Microsoft naloga je prevara

Oprezno: Email obaveštenje o gašenju Microsoft naloga je prevara

Emailovi koje navodno šalje Microsoft i u kojima se korisnici obaveštavaju da će im nalozi biti ugašeni je pokušaj kriminalaca da prevare korisni... Dalje

Napad ruskih hakera na kompjutersku mrežu Bele kuće

Napad ruskih hakera na kompjutersku mrežu Bele kuće

Hakeri za koje se veruje da rade za rusku vladu napali su nedavno u kompjutersku mrežu Bele kuće što je dovelo do privremenog prekida u radu pojedi... Dalje

Tragovi hakerske grupe APT28 odgovorne za višegodišnju sajber špijunažu vode do Rusije

Tragovi hakerske grupe APT28 odgovorne za višegodišnju sajber špijunažu vode do Rusije

Rusija je najverovatniji krivac za višegodišnju sajber špijunažu iako su nevidljivi napadi ostavili manje tragova nego što je to uobičajeno za h... Dalje