Stuxnet powstrzymany

Microsoft załatał we współpracy z firmą Kaspersky Lab lukę w Windows wykorzystywana przez robaka Stuxnet.

W momencie wykrycia luka ta, wykorzystywana przez robaka Stuxnet, została sklasyfikowana jako “zero-day”, czyli nie istniała dla niej łata. Szkodnik Worm.Win32.Stuxnet wyróżnia się tym, że jest narzędziem szpiegostwa przemysłowego: jego celem jest uzyskanie dostępu do systemu operacyjnego Siemens WinCC, który służy do gromadzenia danych i monitorowania produkcji.

Specjaliści ds. bezpieczeństwa uważnie obserwują robaka Stuxnet od momentu jego pojawienia się, czyli od lipca 2010 roku. Odkryli oni, że oprócz pierwotnie zidentyfikowanej luki w przetwarzaniu plików LNK i PIF wykorzystuje on również cztery luki w systemie Windows.

Jedną z nich jest luka MS08-067, która była wykorzystywana również przez robaka Kido (Conficker) na początku 2009 roku. Pozostałe trzy luki nie były wcześniej znane i dotyczą aktualnych wersji systemu Windows.

Oprócz MS08-067 Stuxnet wykorzystuje do rozprzestrzeniania się jeszcze jedną lukę. Luka ta znajduje się w usłudze Windows Print Spooler i może być wykorzystywana do wysyłania szkodliwego kodu do zdalnych komputerów, gdzie jest wykonywany. Właściwości tej luki pozwalają na rozprzestrzenianie infekcji na komputery wykorzystujące drukarkę lub poprzez współdzielony dostęp. Po zainfekowaniu komputera podłączonego do sieci Stuxnet próbuje rozprzestrzeniać się na inne komputery.

Kaspersky Lab wykrył jeszcze jedną lukę zero-day wykorzystywaną przez Stuxneta. Dziura ta, sklasyfikowana jako „Elevation of Privilege” (EoP), pozwalała na uzyskanie pełnej kontroli nad zainfekowanym komputerem. Podobna luka klasy EoP została wykryta przez ekspertów firmy Microsoft. Obie zostaną załatane w przyszłych aktualizacjach bezpieczeństwa dla systemu Windows.

źródło: Kaspersky