Новая Windows-уязвимость, используемая Stuxnet, закрыта

[toxi]

Новая Windows-уязвимость, используемая Stuxnet, закрыта при сотрудничестве "Лаборатории Касперского" и Microsoft


"Лаборатория Касперского" сообщает, что благодаря
сотрудничеству с компанией Microsoft была закрыта серьезная уязвимость
операционной системы Microsoft Windows.

Уязвимость, которая в момент своего обнаружения имела статус нулевого
дня, использовалась нашумевшим компьютерным червем Worm.Win32.Stuxnet.
Данный червь примечателен тем, что, по сути, является инструментом
промышленного шпионажа, - он предназначен для получения доступа к
системе Siemens WinCC, которая отвечает за сбор данных и оперативное
диспетчерское управление производством.

Со времени обнаружения в июле 2010 года Worm.Win32.Stuxnet продолжает
оставаться объектом пристального внимания антивирусных специалистов.
После кропотливой исследовательской работы эксперты "Лаборатории
Касперского" выяснили, что, помимо уязвимости в обработке LNK/PIF
файлов, Stuxnet использует еще четыре уязвимости Windows, одну из
которых (MS08-067), использовал и широко известный червь Kido
(Conficker) в начале 2009 года.

Однако три других уязвимости были ранее неизвестны и затрагивали
актуальные версии Windows.

Для своего распространения по сети Stuxnet, помимо MS08-067, использует
уязвимость в службе Диспетчер печати (Print Spooler) Windows, которая
позволяет передать и выполнить вредоносный код на удаленном компьютере.
Исходя из особенностей уязвимости, заражению подвержены компьютеры,
использующие принтер и предоставляющие к нему общий доступ. Заразив
компьютер внутри локальной сети, через данную лазейку Stuxnet пытался
проникнуть на другие машины.

Сразу после обнаружения уязвимости эксперты "Лаборатории
Касперского" уведомили Microsoft о найденной проблеме; их выводы
были подтверждены специалистами производителя ОС. Уязвимость
классифицирована как Print Spooler Service Impersonation Vulnerability и
ей был присвоен статус критической. В Microsoft немедленно приступили к
созданию соответствующего патча MS10-061, который был выпущен 14
сентября 2010 г.

Кроме того, специалисты "Лаборатории Касперского" обнаружили
еще одну уязвимость "нулевого дня", относящуюся к классу
Elevation of Privilege, которая использовалась червем для получения
полного контроля над зараженной системой. Вторая аналогичная уязвимость
(EoP) была обнаружена специалистами Microsoft. Обе уязвимости будут
исправлены в будущих обновлениях для ОС Windows.

Главный антивирусный эксперт "Лаборатории Касперского"
Александр Гостев, принявший непосредственное участие в обнаружении и
исправлении уязвимостей вместе со специалистами Microsoft, опубликовал
на эту тему интересный блогпост. Полученная в ходе исследования червя
Stuxnet информация, в частности, о деталях работы всех уязвимостей,
будет представлена в конце сентября 2010 года на конференции Virus
Bulletin в Канаде.

Александр Гостев отмечает в своем блоге
(http://www.securelist.com/ru/blog/34355 ... d_MS10_061),
что "факт наличия сразу четырех уязвимостей, впервые
использованных в Stuxnet, делает данную вредоносную программу
действительно уникальным явлением в истории. До сих пор нам не
приходилось сталкиваться с угрозами, которые содержали бы в себе столько
сюрпризов. Добавьте к этому использование подлинных цифровых
сертификатов Realtek и JMicron, и вспомните об основной цели червя
- получении доступа к информации промышленных систем Simatic WinCC
SCADA. Стоит отметить и очень высокий уровень программирования,
продемонстрированный авторами червя".

Червь Worm.Win32.Stuxnet успешно детектируется и нейтрализуется всеми
продуктами "Лаборатории Касперского".

Подробнее об обнаруженных уязвимостях можно узнать на сайте
www.securelist.com/ru.