image

Stuxnet-worm gebruikte 4 Windows zero-day lekken

woensdag 15 september 2010, 10:46 door Redactie, 4 reacties

De gevaarlijkste internetworm van de afgelopen jaren gebruikte in totaal vier onbekende beveiligingslekken in Windows, waarvan er twee nog altijd niet gepatcht zijn. Op 17 juni werd bekend dat een onbekende worm zich via een mogelijk nieuw lek in Windows verspreidde. Niet alleen ging het hier om een zero-day kwetsbaarheid, het betrof ook een geheel nieuwe aanvalsvector voor Windows systemen. Alleen het openen van een map met een snelkoppeling was voldoende om de malware op het systeem uit te voeren. De aanvallers hadden het vooral voorzien op SCADA-systemen.

Maar naar nu blijkt is dit niet de enige kwetsbaarheid die de worm gebruikte. Heeft Stuxnet eenmaal een systeem besmet, dan gebruikt het twee andere lekken om zich te verspreiden. De eerste kwetsbaarheid is MS08-067, hetzelfde lek dat Conficker gebruikte. De exploitcode van Stuxnet is echter iets anders. Het tweede verspreidingsmechanisme is veel interessanter, zegt Alexander Gostev van Kaspersky Lab in deze analyse.

Printer
Stuxnet bevat namelijk ook een zero-day exploit voor een lek in de Print Spooler service. Daardoor kan de worm malware naar andere machine toesturen. "Niet alleen de manier waarop malware op het remote systeem komt is interessant, ook hoe de code dan wordt uitgevoerd", merkt Gostev op. Microsoft patchte gisterenavond het lek in de Print Spooler service.

Naast deze kwetsbaarheid ontdekte Kaspersky Lab ook een ander zero-day lek in de Stuxnet-code. Namelijk een exploit om de rechten op het systeem te verhogen. Ook systemen die zonder administratorrechten draaien, lopen daardoor risico. Ook Microsoft ontdekte een Elevation of Privilege (EoP) kwetsbaarheid. Voor beide lekken zal in de toekomst een patch verschijnen.

Professionals
Volgens Gostev is het gebruik van vier zero-day lekken uniek en ongehoord en zorgt het ervoor dat de worm niet met andere malware te vergelijken is. "Het is de eerste keer dat ik een dreiging tegenkom die zoveel 'verrassingen' bevat", aldus de virusbestrijder. Naast de vijf lekken die de worm gebruikte, waarvan vier zero-days, werden er ook legitieme certificaten van Realtek en JMicron gebruikt voor het signeren van de malware, met als uiteindelijk doel het overnemen van Simatic WinCC SCADA systemen.

"Stuxnet is ongetwijfeld het werk van professionals die de zwaktes van anti-virus technologie kenden, alsmede informatie over onbekende lekken en de architectuur en hardware van WinCC en PSC7 hadden." Eerder lieten andere experts al weten dat in vergelijking met Stuxnet, de Aurora-aanval op Google kinderspel is.

Reacties (4)
15-09-2010, 14:06 door Anoniem
Ja Okè interessant verhaal maar ik had ook graag een cijfer of percentage gehoord van hoeveel computers met de stuxnet-worm besmet zijn. En of er na het gewoon wachten tot het Microsoft pleased om een update uit te brengen ook zelf nog wat tegen deze aanval te doen is.
Heeft het bijvoorbeeld zin om EMET tool van Microsoft te downloaden of bied dat ook geen bescherming tegen deze
stuxnet-worm.
Hoe gaan andere pc gebruikers met deze bedreigingen om en heeft iemand tips?
16-09-2010, 10:13 door Anoniem
Ben ik "voldoende" beschermd met bijv. de combinatie van Firefox+NoScript, Windows Defender, Avast!Pro?
16-09-2010, 13:10 door nix_nix
Door Anoniem: Ben ik "voldoende" beschermd met bijv. de combinatie van Firefox+NoScript, Windows Defender, Avast!Pro?

Met een windows computer ben je niet voldoende beschermd voordat de lekken gedicht zijn.
Check welke lekken er misbruikt worden en neem daar maatregelen voor.

Of switch naar een valide OS!
(ik wil geen OS flaming uitlokken dus ik hoop dat andere dat na mijn reactie ook niet doen)
16-09-2010, 14:25 door Anoniem
In de laatste tijd is het zelfs voor "gevorderden" nauwelijks meer bij te houden wat aan nieuwe bedreigingen dagelijks wordt gemeld.
De pc is een hulpmiddel en het is helaas nu zo, dat het hulpmiddel meer tijd kost voor onderhoud dan de bereikte tijdswinst door de ervaren/verkregen hulp.

Met een windows computer ben je niet voldoende beschermd voordat de lekken gedicht zijn.
btw: Met een Apple of Linux computer ben ook niet veilig bezig als je Adobe flash gebruikt http://www.security.nl/artikel/34440/1/Adobe_slaat_alarm_over_zeer_ernstig_Flash-lek.html. Omdat het compleet uitschakelen van de plugin ook bijv. Google-maps platlegt, zullen niet veel doorsnee-users deze weg gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.