Langner's Stuxnet Deep Dive
Im Januar Der Forscher Michael Heerklotz berichtete privat an die Zero Day Initiative (ZDI) von HP, dass der vor vier Jahren von Microsoft veröffentlichte LNK-Patch umgangen werden kann.
Das bedeutet, dass Angreifer in den vergangenen vier Jahren Microsofts Update neu erstellen konnten LNK-Exploits, die Windows-Computer infizieren könnten, wenn USB-Speichergeräte an sie angeschlossen wurden. Es gibt jedoch noch keine Informationen, die darauf hindeuten, dass dies geschehen ist.
[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]
Der ursprüngliche Angriff, der eine Schwachstelle ausnutzte, wie Windows Symbole für Abkürzungsdateien (LNK) anzeigt , wurde verwendet, um Stuxnet zu verbreiten, ein Computerwurm, der Urananreicherungszentrifugen in der iranischen Nuklearanlage in Natanz sabotierte.Stuxnet, das vermutlich von den USA und Israel geschaffen wurde, wurde im Juni 2010 entdeckt, nachdem es sich über seine Grenzen hinaus verbreitet hatte beabsichtigte Ziel und endete damit, Zehntausende von Computern auf der ganzen Welt zu infizieren. Die LNK-Schwachstelle, die als CVE-2010-2568 erfasst wurde, war eine von mehreren Zero-Day- oder bisher unbekannten Schwachstellen, die Stuxnet ausnutzte. Microsoft hat den Fehler im August desselben Jahres im Rahmen eines Security Bulletins namens MS10-046 behoben.
"Um diesen Angriff zu verhindern, hat Microsoft eine explizite Whitelist-Überprüfung mit MS10-046, die Anfang August 2010 veröffentlicht wurde," die HP Forscher sagten in einem Blogpost Dienstag. "Sobald dieser Patch angewendet wurde, sollten theoretisch nur zugelassene .CPL-Dateien verwendet werden können, um Nicht-Standard-Icons für Links zu laden."
"Der Patch ist fehlgeschlagen", sagten sie. "Und seit mehr als vier Jahren sind alle Windows-Systeme anfällig für genau denselben Angriff, den Stuxnet für die Erstinstallation verwendet hat."
ZDI meldete die von Heerklotz gefundene LNK-Patch-Umgehung an Microsoft, die sie als neue Sicherheitsanfälligkeit behandelte ( CVE-2015-0096) und reparierte es Dienstag als Teil von MS15-020. Die ZDI-Forscher planen, das neue Update zu untersuchen, um zu sehen, ob es andere mögliche Umgehungen gibt.
Jedoch die von Microsoft im Jahr 2010 veröffentlichte Problemumgehung, die die Verwendung des Registrierungseditors verwendet, um die Anzeige von Symbolen für Verknüpfungsdateien manuell zu deaktivieren, "Während der LNK-Angriff zum ersten Mal als Teil von Stuxnet entdeckt wurde, haben Sicherheitsforscher von Kaspersky Lab kürzlich herausgefunden, dass ein anderer Computerwurm namens Fanny ihn seit 2008 benutzt. Fanny ist ein Teil davon eines Malware-Arsenals, das von einer hoch entwickelten Cyberstespionage-Gruppe verwendet wird, die von Kaspersky als Equation bezeichnet wird.
Wie ein Kaspersky-Lab-Bericht im August 2014 ergab, blieb die Ausnutzung der ursprünglichen CVE-2010-2568-Schwachstelle auch nach dem Patch von Microsoft weit verbreitet vor allem, weil der Exploit in häufigere Bedrohungen wie den Sality-Wurm integriert wurde. Von Juli 2010 bis Mai 2014 hat Kaspersky Lab über 50 Millionen Instanzen des Exploits CVE-2010-2568 auf mehr als 19 Millionen Computern weltweit entdeckt.
Ein Drittel der Unternehmens-iOS-Geräte anfällig für Angriffe durch Apps, Datenentführungen
Forscher von FireEye haben fünf Fehler gefunden Rogue-Apps, die über das iOS-Enterprise-Provisioning-System installiert wurden
Die Verwendung von Windows XP macht europäische Geldautomaten anfällig für Malware-Angriffe
Obwohl Malware ein Problem darstellt, ist Skimming immer noch das Hauptproblem in Westeuropa Geldautomatenbetrug
