Kaspersky Lab i Microsoft wykryły poważną lukę w Windowsie

W momencie wykrycia luka została sklasyfikowana jako "zero-day", co oznacza że nie istniała dla niej łata. Szkodnik Worm.Win32.Stuxnet wyróżnia się tym, że jest narzędziem szpiegostwa przemysłowego: jego celem jest uzyskanie dostępu do systemu operacyjnego Siemens WinCC, który służy do gromadzenia danych i monitorowania produkcji.

Robak Stuxnet pojawił się w lipcu 2010 roku. Pracownicy Kaspersky Lab odkryli, że oprócz pierwotnie zidentyfikowanej luki w przetwarzaniu plików LNK i PIF wykorzystuje on również cztery luki w systemie Windows. Jedną z nich jest luka MS08-067, która była wykorzystywana również przez robaka Kido (Conficker) na początku 2009 roku. Pozostałe trzy luki nie były wcześniej znane i dotyczą aktualnych wersji systemu Windows.

Oprócz MS08-067 Stuxnet wykorzystuje do rozprzestrzeniania się jeszcze jedną lukę, która znajduje się w usłudze Windows Print Spooler i może być wykorzystywana do wysyłania szkodliwego kodu do zdalnych komputerów, gdzie jest wykonywany. Właściwości tej luki pozwalają na rozprzestrzenianie infekcji na komputery wykorzystujące drukarkę lub poprzez współdzielony dostęp. Po zainfekowaniu komputera podłączonego do sieci Stuxnet próbuje rozprzestrzeniać się na inne komputery.

Luka została sklasyfikowana jako Print Spooler Service Impersonation Vulnerability i oceniona jako "krytyczna". 14 września Microsoft opublikował łatę MS10-061.

Kaspersky Lab wykrył jeszcze jedną lukę "zero-day" wykorzystywaną przez Stuxneta. Dziura ta, sklasyfikowana jako „Elevation of Privilege” (EoP), pozwalała na uzyskanie pełnej kontroli nad zainfekowanym komputerem. Podobna luka klasy EoP została wykryta przez Microsoft. Obie mają zostać załatane w przyszłych aktualizacjach bezpieczeństwa dla systemu Windows.

"Stuxnet jest pierwszym szkodliwym programem, który jednocześnie wykorzystuje aż cztery luki w zabezpieczeniach. Pod tym względem robak ten jest unikatowy: stanowi pierwsze zagrożenie, które kryje tak dużo niespodzianek. Zanim wykryliśmy nową lukę, robak wart był fortunę dla hakerów. Biorąc pod uwagę fakt, że Stuxnet również wykorzystuje certyfikaty cyfrowe Realtek i Jmicron, jak również to, że został stworzony w celu kradzieży danych przechowywanych w Simatic WinCC SCADA – można powiedzieć, że mamy do czynienia z prawdziwie bezprecedensowym zagrożeniem. Trzeba również przyznać, że twórcy tego szkodnika wykazali dość niezwykłe umiejętności programistyczne" - mówi Aleksander Gostiew, główny ekspert ds. bezpieczeństwa z Kaspersky Lab.