ПК с Windows оставались уязвимыми для подобных Stuxnet атак, несмотря на патч 2010

Если вы исправили ваши компьютеры Windows в 2010 году от эксплойта LNK, используемого Stuxnet, и считали, что вы в безопасности, у исследователей из Hewlett-Packard есть плохие новости для вас: исправление Microsoft было ошибочным.

В январе, исследователь Майкл Хеерклоц (Michael Heerklotz) в частном порядке сообщил об Инициативе Zero Day от HP (ZDI) о том, что исправление LNK, выпущенное Microsoft более четырех лет назад, может быть обойдено.

Это означает, что на протяжении последних четырех лет злоумышленники могли бы исправить исправление Microsoft для создания новых LNK, которые могут заражать компьютеры Windows, когда в них подключены USB-накопители. Тем не менее, пока нет информации о том, что это произошло.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Исходная атака, в которой используется уязвимость в том, как Windows отображала значки для файлов ярлыков (LNK) , был использован для распространения компьютерного червя Stuxnet, который саботировал центрифуги для обогащения урана на иранском ядерном объекте в Натанзе.

Stuxnet, который, как полагают, был создан США и Израилем, был обнаружен в июне 2010 года после того, как он распространился за пределы его и в конечном итоге заразили десятки тысяч компьютеров по всему миру. Уязвимость LNK, отслеживаемая как CVE-2010-2568, была одной из нескольких неизвестных ранее неизвестных недостатков, которые Stuxnet использовал. Microsoft исправила ошибку в августе того же года как часть бюллетеня по безопасности под названием MS10-046.

«Чтобы предотвратить эту атаку, Microsoft внесла явную проверку белого списка с MS10-046, выпущенную в начале августа 2010 года,« HP говорят исследователи в блоге во вторник. «Как только этот патч был применен, теоретически только одобренные .CPL-файлы должны были быть использованы для загрузки нестандартных значков для ссылок».

«Патч не удался», - сказали они. «И уже более четырех лет все системы Windows были уязвимы для той же атаки, что и Stuxnet для первоначального развертывания».

ZDI сообщила об обходном исправлении LNK, найденном Heerklotz, Microsoft, который рассматривал ее как новую уязвимость ( CVE-2015-0096) и зафиксировал его во вторник как часть MS15-020. Исследователи ZDI планируют изучить новое обновление, чтобы узнать, есть ли другие возможные обходы.

Однако, применяя обходное решение, опубликованное Microsoft в 2010 году, в котором используется редактор реестра, чтобы вручную отключить отображение значков для ярлыков, будут защищены от последнего недостатка, сказали они.

Хотя атака LNK была впервые обнаружена как часть Stuxnet, исследователи безопасности Лаборатории Касперского недавно обнаружили, что другой компьютерный червь под названием Fanny использовал его с 2008 года. Fanny - часть из арсенала вредоносного ПО, используемого очень сложной группой кибербезопасности, которую Kaspersky назвала Equation.

Как было показано в отчете «Лаборатории Касперского» в августе 2014 года, использование исходной уязвимости CVE-2010-2568 оставалось широко распространенным даже после исправления Microsoft в 2010 году , прежде всего потому, что эксплойт был интегрирован в более распространенные угрозы, такие как червь Sality. С июля 2010 года по май 2014 года «Лаборатория Касперского» обнаружила более 50 миллионов экземпляров эксплойта CVE-2010-2568 на более чем 19 миллионах компьютеров по всему миру.