Kritisk Windows-sårbarhed indbyder til masseudnyttelse

Forvent mere malware, der udnytter den kritiske Windows-sårbarhed, som virus benytter sig af.

22. juli 2010 kl. 13.30

Ny variant af Stuxnet

En ny variant af industri-virussen som kaldes Stuxnet er blevet fundet. Den oprindelige malware var udstyret med et digitalt certifikat fra chip-producenten Realtek.

Nu meldes der om, at en ny variant er blevet fundet med et digitalt certifikat fra JMicron Technology Corp.

Interessant nok har både Realtek og JMicron Technology kontorer i Hsinchu Science Park i Taiwan.
Realtek ligger på Innovation Road II, mens JMicron ligger på Innovation Road 1

Revoke af digitalt certifikat til hvilken nytte?

I lørdags annoncerede Microsoft og Verisign, at de havde trukket det digitale certifikat tilbage. Umiddelbart skulle man tro, at det ville dekativere Stuxnet, men ifølge sikkerhedsanalytikeren Chester Wisniewsky er det ikke tilfældet. Chester Wisniewsky har sammen med en kollega nemlig set nærmere på, hvordan Windows håndterer signerede drivere og DLL'er.

Under overskriften "Certificeret uskkerhed" skriver Chester Wisnieski:

"Jeg troede, at når et certifikat blev trukket tilbage ville det forhindre drivere, der var signeret med det certifikat, i at loade i Windows. Det er kun delvist rigtigt; det vil kun forhindre drivere, som er signeret efter certifikatet er trukket tilbage, i at loade i Windows.
Det betyder, at alle eksisterende kopier af Stuxnet som er derude stadig vil blive eksekveret.
Hvorfor så overhovedet trække certifikatet tilbage? Jeg har ingen ide. Det betyder absolut ingenting, såvidt jeg kan se, bortset fra at det giver indtryk af, at "powers-that-be" handler for at beskytte os. Jeg har kontaktet Verisign's PR-afdeling for at høre mere, men jeg har ikke modtaget noget svar endnu.

Microsoft er i gang med at udvikle en patch for at forhindre udnyttelse af en nylig opdaget sårbarhed, der vedrører stort set alle versioner af Windows.

Sårbarheden udnyttes af den ondsindede industri-orm, som går specifikt efter Siemens SCADA-system Simatic, men sikkerhedseksperter forventer, at der ikke vil gå lang tid førend anden malware vil florere og udnytte sårbarheden.

Microsoft bekræftede sårbarheden i fredags og foreslog workarounds så virksomheder og privatpersoner kan undgå at deres computere inficeres af virussen, men Microsoft har endnu ingen patch af sårbarheden.

Patch før Patch Tuesday?

Microsoft opdaterede sin sikkerhedsadvarsel i tirsdags. Status er at "Microsoft er ved at udvikle en sikkerhedsopdatering til Windows, der vil adressere sårbarheden."

Microsoft har ikke sagt noget om hvorvidt virksomheden vil vente indtil den næste planlagte Patch Tuesday den 10. august med at udsende sikkerhedsopdateringen eller om den vil blive tilgængelig inden da.

Microsoft har foreslået to workarounds; en der forhindrer shortcuts i at blive vist som ikoner og en anden der slår WebClient servicen fra, så fjernangreb forhindres.

De foreslåede workarounds er dog beskrevet som "i høj grad upraktiske i de fleste miljøer" af Chester Wisniewski,
en sikkerhedsanalytiker fra it-sikkerhedsfirmaet Sophos.

Anvender shortcuts

Sårbarheden eksisterer fordi Windows fortolker specielt udformede shortcuts forkert og dermed tillader eksekvering af ondsindet kode.

Sårbarheden opstår grundet måden shell32.dll loader control panel ikoner fra appleter.
En specielt udformet shortcut (.lnk fil), der peger på en ondsindet fil kan få Windows Explorer til uden videre at eksekvere den ondsindede fil. Det sker selvom man blot kigger i den folder som shortcut befinder sig i. Den ondsindede kode eksekveres altså, selvom man ikke klikker på shortcut.

Den ondsindede fil er et rootkit og en dropper der øjeblikkeligt gemmer de specielle shortcut (.lnk) filer.

Den ondsindede kode eksekveres, selvom AutoRun og AutoPlay er slået fra.

Sikkerhedseksperter forventer, at der vil dukke anden malware, der udnytter den meget kritiske sårbarhed i Windows.

Nedenstående video viser hvordan malwaren fungerer.