На днях корпорация Microsoft подтвердила наличие уязвимости «нулевого дня» во всех версиях Windows — от 2000 до 7. Причём уязвимость оказалась очень необычной.
Началось всего чуть больше месяца назад, когда специалисты белорусской компании «ВирусБлокАда» обнаружили очень необычную вредоносную программу. Это был червь Win32/Stuxnet. От своих собратьев он отличается в первую очередь тем, что использует ранее неизвестную уязвимость ОС Windows.
Уязвимость заключается в том, что при попытке отобразить иконку у специально сформированного файла с расширением .lnk (ярлык) в ОС может быть запущен произвольный код. Эта брешь в защите по-своему уникальна. Пользователю достаточно открыть папку с червём в любом приложении, которое способно отображать иконки файлов — Explorer, Total Commander и даже в диалоге открытия/сохранения файлов, — и всё, компьютер уже заражён.
Однако любопытнее всего то, что часть компонентов Win32/Stuxnet имела цифровую подпись. Причём самую настоящую, принадлежащую небезызвестной компании Realtek.
Это вовсе не означает, что инженеры компании на досуге занимаются написанием вирусов. Скорее всего, злоумышленники получили доступ к приватным ключам, которые необходимы для создания цифровой подписи. Впрочем, и сам факт предполагаемой кражи ключей бросает тень на репутацию Realtek.
Наличие цифровой подписи сыграло злую шутку с антивирусами. Они считали червь вполне безопасным ПО и не препятствовали его проникновению. На данный момент сертификат уже отозван, а некоторые антивирусы вполне успешно детектируют попытки воспользоваться этой уязвимостью. К сожалению, ещё не все.
Ещё одна нетипичная черта Win32/Stuxnet — его направленность. Червь не содержит в явном виде каких-либо средств получения прибыли — будь то просьба отослать SMS или организация ботнета. Червь ворует и пересылает информацию из баз данных SCADA-систем, в частности SIMATIC WinCC. Подобные системы широко используются в промышленности — для управления энергостанциями, технологическими процессами, кораблями, системами связи, нефтяными вышками. В общем, довольно сложными и критически важными объектами и инфраструктурами. Нетрудно догадаться, что Win32/Stuxnet, скорее всего, используется для промышленного шпионажа. Причём в очень больших масштабах.
Конкретное число заражённых машин не сообщается, однако компания ESET представила статистику распространения червя по регионам. Больше всего случаев инфицирования пришлось на США (57,71%), затем идёт Иран (30%), а на третьем месте оказалась Россия (4,09%). Основной источник заражения — USB-накопители. У червя отсутствует какой-либо иной механизм распространения (например, по локальной сети). Как правило, на заражённом накопителе находятся несколько файлов с расширением tmp и, собственно, ярлык (lnk).
Самое неприятное во всей этой истории то, что данная уязвимость присутствует во всех версиях Windows старше 2000-й. В том числе и в Windows 7.
Корпорация Microsoft официально признала существование «дыры». Для Windows Defender уже выпущены обновления, которые препятствуют проникновению Win32/Stuxnet. Однако патч для устранения уязвимости наверняка появится не раньше 10-го августа. А для Windows 2000 и XP SP2 его вообще не будет, так как поддержка этих ОС уже прекращена.
Не исключено, что могут появиться или уже появились другие модификации вредоносного ПО, которые также эксплуатируют эту уязвимость. Выходом из этой ситуации может стать отключение отображения иконок вообще у всех ярлыков в системе, но после этого работу за компьютером трудно будет назвать очень комфортной. Ну а в целом, очень интересно наблюдать за тем, как «всплывают» уязвимости, которые «живут» в ОС уже более 10 лет. Источник: pikabu.ru.
Рейтинг публикации:
|
Статус: |
Группа: Гости
публикаций 0
комментариев 0
Рейтинг поста:
Однако...!
Было совсем недавно. Comodo аж взвыл на какой-то файлик драйвера от Realtek wireless driver (что-то вроде этого, не помню точно), сожрал почти всю папку где лежал "драйвер", и даже не подавился... И до этого что-то промелькивало, но не обращал внимания. Завтра проверю все компы еще раз...
Статус: |
Группа: Гости
публикаций 0
комментариев 0
Рейтинг поста:
23.07.2010 00:10
Новый червь Win32/Stuxnet, предназначенный для кражи информации из корпоративных систем класса SCADA, был обнаружен на ПК в США и Иране. Процент зараженных компьютеров вредоносным ПО для промышленного шпионажа в этих странах составил 58% и 30% случаев заражения. На третьем месте Россия, где зарегистрировано 4% случаев. Начнется ли эпидемия?
Пикантности и без того напряженным отношениям США и Ирана могут добавить новые факты промышленного шпионажа. Как сообщается в блоге компании-разработчика антивирусного ПО, именно в этих двух странах широкое распространение получил новый червь Win32/Stuxnet, предназначенный для кражи информации из корпоративных систем класса SCADA.
Большинство обнаруженных специалистами обстоятельств указывает на то, что вредоносная программа предназначена для промышленного шпионажа. В частности, червь проникает в системы управления и контроля, используемые в промышленности, и передает найденную информацию на удаленный сервер. Интересно, что около 90% зараженных компьютеров находятся на территории США и Ирана.
При этом червь не обладает способностью распространяться по сети. "По всей видимости, Win32/Stuxnet имеет целевую направленность, поскольку общеизвестных способов монетизации при анализе данного вредоносного ПО выявлено не было, — говорит Александр Матросов, руководитель Центра вирусных исследований и аналитики российского представительства одного из европейских антивирусных вендоров. — Высокое проникновение угрозы именно в США и Иране, возможно, связано с преднамеренной атакой, задачей которой является промышленный шпионаж".
Не ясно только, кому понадобилась информация из американских и иранских SCADA-систем. Существует версия, что программное обеспечение вышло из-под контроля создателя и начало самостоятельно распространяться. "Win32/Stuxnet" построен таким образом, чтобы привлекать к себе минимум внимания, — продолжает Александр Матросов. — Червь распространяется только через USB-накопители, а для запуска вредоносного кода использует неизвестную ранее уязвимость оболочки Windows".
Существующая разновидность Win32/Stuxnet опасна, прежде всего, для промышленных информационных систем. Вместе с тем эксперты отмечают, что функционал данной программы может быть достаточно легко изменен для осуществления атак на домашние компьютеры пользователей. Кроме того, ожидается, что в ближайшее время появится множество других вредоносных программ, использующих для запуска обнаруженную в Windows-среде уязвимость.
С появлением Win32/Stuxnet связана еще одна история, ставящая под сомнение надежность информационной безопасности отдельных компаний. Дело в том, что червь успешно обходил технологию HIPS (Host Intrusion Prevention System), которая защищает от попыток внешнего воздействия на систему. Подобная технология имеется во многих антивирусных продуктах.
Способность обходить такую защиту предопределил тот факт, что отдельные компоненты Win32/Stuxnet имеют легальную цифровую подпись компании Realtek, в результате чего антивирусы принимали червя за безвредную компанию.
Корпорация Realtek Semiconductor занимается разработкой интегральных микросхем, но не имеет собственных производственных мощностей. Она располагается в Научном Парке в Тайване и имеет неплохую репутацию на рынке. Поэтому вопрос о том, откуда у злоумышленников, создавших Win32/Stuxnet, появилась цифровая подпись Realtek, остается открытым.
"Может быть, подпись из Realtek украл сотрудник компании, — поделился своими мыслями Александр Матросов. — Но, возможно, была задействована отдельная группа мошенников, подписывающих вредоносное программное обеспечение".
Вячеслав ЛокацкийСтатус: |
Группа: Гости
публикаций 0
комментариев 0
Рейтинг поста:
Весьма интересно... Еще интересно то, что как раз на предприятиях зачастую используется Windows XP....