Mga PC ng Windows ay nanatiling mahina sa mga pag-atake ng Stuxnet sa kabila ng 2010 patch

Kung na-patched mo ang iyong Windows computer noong 2010 laban sa LNK na pagsasamantalang ginagamit ng Stuxnet at naisip mong ligtas, ang mga mananaliksik mula sa Hewlett-Packard ay may ilang masamang balita para sa iyo: Ang pag-aayos ng Microsoft ay may depekto.

Noong Enero, Ang mananaliksik na si Michael Heerklotz ay nag-uulat nang pribado sa Zero Day Initiative ng HP (ZDI) na ang patch ng LNK na inilabas ng Microsoft mahigit apat na taon na ang nakakaraan ay maaaring maantala.

Ito ay nangangahulugan na sa loob ng nakaraang apat na taon ang mga attackers ay maaaring magkaroon ng reverse-engineered na fix ng Microsoft upang lumikha ng bagong Ang mga pagsasamantala ng LNK na maaaring makahawa sa mga computer ng Windows kapag nakakuha ang mga USB storage device sa mga ito.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang orihinal na atake, na pinagsamantalahan ang isang kahinaan sa kung paano nagpakita ang Windows ng mga icon para sa mga shortcut (LNK) na mga file , ay ginamit upang maikalat ang Stuxnet, isang computer worm na sabotaged uranium enrichment centrifuges sa nuclear facility ng Iran sa Natanz.

Stuxnet, na pinaniniwalaan na nilikha ng US at Israel, ay natuklasan noong Hunyo 2010 matapos itong kumalat sa kabila nito hinahangad na target at natapos na humantong sa sampu-sampung libu-libong mga computer sa buong mundo. Ang kahinaan ng LNK, sinusubaybayan bilang CVE-2010-2568, ay isa sa ilang mga zero-day, o dati hindi alam, mga depekto na pinagsasamantala ng Stuxnet. Ang Microsoft ay nagtagumpayan ang lamat noong Agosto sa parehong taon bilang bahagi ng isang bulletin ng seguridad na tinatawag na MS10-046.

"Upang maiwasan ang pag-atake na ito, inilagay ng Microsoft sa isang malinaw na whitelist check sa MS10-046, na inilabas noong unang bahagi ng Agosto 2010," ang HP Sinabi ng mga mananaliksik sa isang blog post Martes. "Sa sandaling na-apply ang patch na iyon, sa teorya lamang na naaprubahan. Ang mga file ng CPL ay dapat magamit upang mag-load ng mga hindi karaniwang mga icon para sa mga link."

"Nabigo ang patch," sabi nila. "At para sa higit sa apat na taon, ang lahat ng mga sistema ng Windows ay masusugatan sa eksaktong parehong atake na ginamit ng Stuxnet para sa paunang pag-deploy."

ZDI ay iniulat ang LNK patch bypass na natagpuan ni Heerklotz sa Microsoft, na itinuring ito bilang isang bagong kahinaan ( CVE-2015-0096) at naayos na ito Martes bilang bahagi ng MS15-020. Ang plano ng ZDI ay nagpaplano na suriin ang bagong pag-update upang makita kung may iba pang mga posibleng bypass.

Gayunpaman, ang paglalapat ng workaround na inilathala ng Microsoft noong 2010, na nagsasangkot sa paggamit ng registry editor upang mano-manong i-disable ang pagpapakita ng mga icon para sa mga shortcut file, Ang proteksiyon ng LNK ay unang natuklasan bilang bahagi ng Stuxnet, ang mga mananaliksik sa seguridad mula sa Kaspersky Lab kamakailan lamang ay natagpuan na ang isa pang computer worm, na tinatawag na Fanny, ay gumamit ito simula 2008. Si Fanny ay bahagi ng isang malware arsenal na ginamit ng isang lubhang sopistikadong grupong cyberespionage na tinatawag ng Kaspersky Equation.

Tulad ng ipinahayag ng isang ulat ng Kaspersky Lab noong Agosto 2014, ang pagsasamantala ng orihinal na CVE-2010-2568 na kahinaan ay naging laganap kahit na matapos ang Microsoft patch noong 2010 , lalo na dahil ang pagsasamantala ay isinama sa mas karaniwang mga banta tulad ng Sality worm. Mula Hulyo 2010 hanggang Mayo 2014, nakita ng Kaspersky Lab ang higit sa 50 milyong mga pagkakataon ng CVE-2010-2568 na pagsasamantala sa higit sa 19 milyong mga computer sa buong mundo.