Microsoft waarschuwt voor extreem ernstig Windows-lek
Microsoft waarschuwt voor een extreem ernstig beveiligingslek in alle moderne versies van Windows, waardoor alleen het openen van een map, cd-rom of USB-stick voldoende is om besmet met malware te raken. De kwetsbaarheid wordt al ruim een maand ingezet voor het overnemen van systemen. Op 17 juni ontving het Wit-Russische anti-virusbedrijf VirusBlokAda een malware-exemplaar dat zich verspreidde via een lek in de manier waarop Windows snelkoppelingen verwerkt. Ook systemen waar Autorun of Autoplay is uitgeschakeld, zijn kwetsbaar.
Het openen van een map of schijf met een kwaadaardige snelkoppeling, bijvoorbeeld via de Windows Verkenner, is voldoende om besmet te raken. Om precies te zijn bevindt de kwetsbaarheid zich in de Windows Shell. Hoewel het lek op verschillende manieren is te misbruiken, wordt het volgens Microsoft voornamelijk via USB-sticks ingezet. In eerste instantie zou de malware voor een gerichte aanval op een SCADA-omgeving zijn gebruikt, maar inmiddels zijn meer dan 16.000 systemen besmet geraakt.
Stuxnet
De malware die het lek misbruikt wordt Stuxnet genoemd. Volgens Microsoft gaat het om een worm en niet om een Trojaans paard zoals eerder werd gezegd. "Wat zo uniek aan Stuxnet is, is dat het een nieuwe verspreidingsmethode gebruikt. Het gebruikt speciaal geprepareerde snelkoppelingen op USB-sticks om automatisch malware uit te voeren zodra het .link bestand door het besturingssysteem wordt gelezen. In andere woorden, alleen het openen van een USB-stick met een applicatie die icoontjes van snelkoppelingen weergeeft, zoals Windows Explorer, zorgt ervoor dat de malware zonder enige verdere interactie van de gebruiker wordt uitgevoerd", aldus Tareq Saade van het Microsoft Malware Protection Center.
Microsoft verwacht dat andere virusschrijvers ook deze techniek zullen toepassen. "Stuxnet infecteert elke USB-stick die in het systeem wordt gestopt en daarom hebben we het als een worm geclassificeerd", merkt Saade op. Hij maakt duidelijk dat het zero-day lek in Windows op zichzelf geen worm kan verspreiden.
Certificaten
Stuxnet gebruikt twee driverbestanden, die door Realtek zijn gesigneerd. Hoe dit kon gebeuren is nog altijd niet bekend, maar sommige experts vermoeden dat dit het werk van insiders of hackers is. Ook Saade vindt het gebruik van het certificaat opmerkelijk. "Het duidt erop dat de virusschrijvers toegang tot de privé-sleutel van Realtek hadden."
Microsoft heeft in samenwerking met Verisign en toestemming van Realtek inmiddels het certificaat ingetrokken. Wat betreft het aantal infecties zijn volgens de softwaregigant voornamelijk de Verenigde Staten, Iran, Indonesië en India het hardst getroffen. Saade maakt duidelijk dat Stuxnet al een maand actief is, maar mogelijk nog veel langer.
Oplossing
In afwachting van een patch heeft Microsoft twee tijdelijke oplossingen. De eerste is het aanpassen van een registersleutel, zodat snelkoppelingen geen icoontje meer hebben. De tweede is het uitschakelen van de WebClient service. "Helaas hebben beide opties een behoorlijke impact op sommige Windows gebruikers, aangezien de eerste het aanpassen van het Register betreft en de tweede gevolgen voor SharePoint-gebruikers heeft", zegt David Harley van het Slowaakse anti-virusbedrijf ESET.
Gebruikers van Security Essentials, Forefront, Windows Live OneCare en het Windows Live Safety Platform zijn beschermd tegen de Stuxnet malware, aangezien er signatures aan deze scanners zijn toegevoegd.
Update 17:00
Ivanlef0u heeft een proof-of-concept van de exploit die bij de gerichte aanvallen is gebruikt, online gezet.
heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
http://www.securelist.com/en/descriptions?words=Stuxnet&behavior=&Search=Search&search_type=1
Ik raad iedereen aan om te controleren of de eigen virusscanner dit computervirus al herkent. In de tussentijd moet de nodige voorzichtigheid worden toegepast.
Peter, het updaten van de virusscanner is goed, maar het geeft geen enkele garantie dat dezelfde exploit gedetecteerd wordt in andere malware. Anti-virus is meestal reactief, en het is te verwachten dat dat hier ook het geval zal zijn.
Verder, dit is een ouderwetse slow spreader omdat het via gegevensdragers gaat en niet via Internet. De kans op besmetting is klein en verspreiding kost veel meer tijd dan een Internet worm.
heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
http://www.blackviper.com/WinXP/servicecfg.htm
Nog nooit gemist eigenlijk...
Ik lees net in Microsoft's advisory dat 64-bit systemen wel kwetsbaar zijn. Dan is het dus de vraag of er een 64-bit versie van deze code de ronde doet... Ik heb voor alle zekerheid de WebClient service maar gedisabled.
Dit soort claims kun je niet maken. Een nieuwe variant en er is geen detectie meer.
Overigens, via welk mechanisme kan VirusBlokAda de verspreiding eigenlijk meten?
Dat ze deze workaround überhaupt opperen, bijna alle iconen op mijn desktop zijn snelkoppelingen.
Overigens, via welk mechanisme kan VirusBlokAda de verspreiding eigenlijk meten?
Klopt, het is inderdaad behoorlijk old school. De makers van deze worm hebben expliciet hiervoor gekozen omdat veel SCADA systemen niet aangesloten zijn op internet (air-gapped). Ze hebben (correct, zoals nu blijkt) ingeschat dat USB-poort security slecht gehandhaafd wordt en een aanval daarom succesvol zijn. Dat de worm nu in het openbaar waargenomen wordt is collateral damage, het doel van de aanval waren Siemens WinCC systemen. Veel (zoals ik t begrijp Amerikaanse) SCADA systemen draaien hierop.
heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
Werkt hier prima op een XP SP3. Gewoon in de root van je HDD stoppen, no problemo.
An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
De exploit krijgt dus dezelfde rechten als de gebruiker. Als je dus niet onder admin rechten inlogt zal de exploit waarschijnlijk ook niet werken omdat je dan geen drivers kan installeren.
De claim gaat over de huidige versie, en niet over toekomstige versies, dus wat dat betreft is je reactie onterecht.
De claim gaat over de huidige versie, en niet over toekomstige versies, dus wat dat betreft is je reactie onterecht.
Nee, je leest niet goed.
heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
Een uitleg waar hij weer naar linkt (http://www.kb.cert.org/vuls/id/940193) vertelt me iets wat ik nog nergens anders was tegengekomen: hoe het eigenlijk zit dat er code wordt uitgevoerd voor het tonen van een icoontje:
Dit past in een patroon dat ik heel regelmatig terug zie keren. Vanuit de wens om de "user experience" rijk en dynamisch te maken (dynamische icoontjes, maar ook Word macro's en de recente PDF-problemen) wordt iets waarvan je het als gebruiker niet verwacht voorzien van de mogelijkheid om van alles op je systeem te gaan doen. Je verwacht dat een icoontje een passief plaatje is. Nee dus. Je verwacht dat een PDF domweg een document in printopmaak bevat. Helaas, het is potentieel een complete applicatie, en dat kan je aan de buitenkant als gewone sterveling niet zien. Dat is een vorm van onduidelijkheid die het bijzonder moeilijk maakt om te weten wat je nog veilig kan doen en wat niet. Die wens om alles maar rijk en dynamisch te maken mag daarom van mij best wat getemperd worden. Niet dat er geen lekken kunnen zitten in code die alleen maar iets statisch moet tonen, maar de deur staat toch aanzienlijk wijder open als de mogelijkheid om code uit te voeren expliciet is ingebouwd. Ik heb liever een systeem waarop code pas wordt uitgevoerd als ik daar expliciet voor gekozen heb, en niet via allerlei achterdeurtjes. Ik open graag plaatjes waarvan ik zeker weet dat het niet meer dan plaatjes kunnen zijn, open graag documenten waarvan ik zeker weet dat het niet meer dan documenten kunnen zijn. Die toegevoegde "experience" is me de risico's niet waard. Al die extra's mogen beschikbaar zijn als ik er expliciet voor kies ze te starten, net zoals ik elke traditionele applicatie op mijn systeem ook expliciet weet te starten. Da's niet alleen goed genoeg, het is veel duidelijker, en daarmee veiliger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.