Windows-pc's bleven kwetsbaar voor Stuxnet-achtige aanvallen ondanks patch van 2010

Als je in 2010 je Windows-computers hebt gepatcht tegen de LNK-exploit van Stuxnet en dacht dat je veilig was, hebben onderzoekers van Hewlett-Packard slecht nieuws voor je: de oplossing van Microsoft was gebrekkig.

In januari onderzoeker Michael Heerklotz meldde privé aan het Zero Day Initiative (ZDI) van HP dat de LNK-patch die door Microsoft is vrijgegeven meer dan vier jaar geleden kan worden omzeild.

Dit betekent dat aanvallers in de afgelopen vier jaar de oplossing van Microsoft hadden omgekeerd om nieuwe te maken LNK-exploits die Windows-computers kunnen infecteren wanneer USB-opslagapparaten erop zijn aangesloten. Er is echter nog geen informatie om te suggereren dat dit is gebeurd.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De oorspronkelijke aanval, die een kwetsbaarheid benutte in de manier waarop Windows pictogrammen voor snelkoppelingen (LNK) -bestanden weergaf , werd gebruikt om Stuxnet, een computerworm die uraniumverrijkingscentrifuges in de Iraanse nucleaire installatie in Natanz saboteerde, te verspreiden. Stuxnet, waarvan wordt gedacht dat het is gecreëerd door de VS en Israël, werd in juni 2010 ontdekt nadat het zich buiten zijn beoogde doelwit en eindigde tienduizenden computers over de hele wereld. De LNK-kwetsbaarheid, getraceerd als CVE-2010-2568, was een van de vele zero-day of voorheen onbekende gebreken die door Stuxnet werden misbruikt. Microsoft herstelde de fout in augustus van hetzelfde jaar als onderdeel van een beveiligingsbulletin met de naam MS10-046.

"Om deze aanval te voorkomen, plaatste Microsoft een expliciete whitelistcheck bij MS10-046, uitgegeven begin augustus 2010," the HP onderzoekers zeiden in een blogpost dinsdag. "Nadat die patch was toegepast, in theorie alleen goedgekeurd. CPL-bestanden hadden moeten kunnen worden gebruikt om niet-standaard pictogrammen voor links te laden."

"De patch is mislukt," zeiden ze. "En meer dan vier jaar lang waren alle Windows-systemen kwetsbaar voor exact dezelfde aanval als die Stuxnet gebruikte voor de eerste implementatie."

ZDI rapporteerde de LNK-patch bypass gevonden door Heerklotz bij Microsoft, die het als een nieuwe kwetsbaarheid behandelde ( CVE-2015-0096) en repareerde het dinsdag als onderdeel van MS15-020. De ZDI-onderzoekers zijn van plan de nieuwe update te onderzoeken om te zien of er andere mogelijke bypasses zijn.

De door Microsoft in 2010 gepubliceerde tussenoplossing echter toepassen, waarbij de registereditor wordt gebruikt om de weergave van pictogrammen voor snelkoppelingsbestanden handmatig uit te schakelen, zal ook beschermen tegen de nieuwste fout, zeiden ze.

Terwijl de LNK-aanval voor het eerst werd ontdekt als onderdeel van Stuxnet, ontdekten veiligheidsonderzoekers van Kaspersky Lab onlangs dat een andere computerworm, Fanny genaamd, het sinds 2008 had gebruikt. Fanny is onderdeel van van een malware-arsenaal dat wordt gebruikt door een zeer geavanceerde cyberespionagegroep die Kaspersky Equation heeft genoemd.

Zoals onthuld door een rapport van Kaspersky Lab in augustus 2014, bleef de exploitatie van de oorspronkelijke kwetsbaarheid van CVE-2010-2568 wijdverbreid, zelfs na de Microsoft-patch in 2010 , voornamelijk omdat het misbruik werd geïntegreerd in meer algemene bedreigingen zoals de Sality-worm. Van juli 2010 tot mei 2014 heeft Kaspersky Lab meer dan 50 miljoen exemplaren van de CVE-2010-2568-exploitatie op meer dan 19 miljoen computers wereldwijd gedetecteerd.