Kritisk Windows-sårbarhed indbyder til masseudnyttelse

Forvent mere malware, der udnytter den kritiske Windows-sårbarhed, som virus benytter sig af.

22. juli 2010 kl. 13.30

Ny variant af Stuxnet

En ny variant af industri-virussen som kaldes Stuxnet er blevet fundet. Den oprindelige malware var udstyret med et digitalt certifikat fra chip-producenten Realtek.

Nu meldes der om, at en ny variant er blevet fundet med et digitalt certifikat fra JMicron Technology Corp.

Interessant nok har både Realtek og JMicron Technology kontorer i Hsinchu Science Park i Taiwan.
Realtek ligger på Innovation Road II, mens JMicron ligger på Innovation Road 1

Revoke af digitalt certifikat til hvilken nytte?

I lørdags annoncerede Microsoft og Verisign, at de havde trukket det digitale certifikat tilbage. Umiddelbart skulle man tro, at det ville dekativere Stuxnet, men ifølge sikkerhedsanalytikeren Chester Wisniewsky er det ikke tilfældet. Chester Wisniewsky har sammen med en kollega nemlig set nærmere på, hvordan Windows håndterer signerede drivere og DLL'er.

Under overskriften "Certificeret uskkerhed" skriver Chester Wisnieski:

"Jeg troede, at når et certifikat blev trukket tilbage ville det forhindre drivere, der var signeret med det certifikat, i at loade i Windows. Det er kun delvist rigtigt; det vil kun forhindre drivere, som er signeret efter certifikatet er trukket tilbage, i at loade i Windows.
Det betyder, at alle eksisterende kopier af Stuxnet som er derude stadig vil blive eksekveret.
Hvorfor så overhovedet trække certifikatet tilbage? Jeg har ingen ide. Det betyder absolut ingenting, såvidt jeg kan se, bortset fra at det giver indtryk af, at "powers-that-be" handler for at beskytte os. Jeg har kontaktet Verisign's PR-afdeling for at høre mere, men jeg har ikke modtaget noget svar endnu.

Microsoft er i gang med at udvikle en patch for at forhindre udnyttelse af en nylig opdaget sårbarhed, der vedrører stort set alle versioner af Windows.

Sårbarheden udnyttes af den ondsindede industri-orm, som går specifikt efter Siemens SCADA-system Simatic, men sikkerhedseksperter forventer, at der ikke vil gå lang tid førend anden malware vil florere og udnytte sårbarheden.

Microsoft bekræftede sårbarheden i fredags og foreslog workarounds så virksomheder og privatpersoner kan undgå at deres computere inficeres af virussen, men Microsoft har endnu ingen patch af sårbarheden.

Patch før Patch Tuesday?

Microsoft opdaterede sin sikkerhedsadvarsel i tirsdags. Status er at "Microsoft er ved at udvikle en sikkerhedsopdatering til Windows, der vil adressere sårbarheden."

Microsoft har ikke sagt noget om hvorvidt virksomheden vil vente indtil den næste planlagte Patch Tuesday den 10. august med at udsende sikkerhedsopdateringen eller om den vil blive tilgængelig inden da.

Microsoft har foreslået to workarounds; en der forhindrer shortcuts i at blive vist som ikoner og en anden der slår WebClient servicen fra, så fjernangreb forhindres.

De foreslåede workarounds er dog beskrevet som "i høj grad upraktiske i de fleste miljøer" af Chester Wisniewski,
en sikkerhedsanalytiker fra it-sikkerhedsfirmaet Sophos.

Anvender shortcuts

Sårbarheden eksisterer fordi Windows fortolker specielt udformede shortcuts forkert og dermed tillader eksekvering af ondsindet kode.

Sårbarheden opstår grundet måden shell32.dll loader control panel ikoner fra appleter.
En specielt udformet shortcut (.lnk fil), der peger på en ondsindet fil kan få Windows Explorer til uden videre at eksekvere den ondsindede fil. Det sker selvom man blot kigger i den folder som shortcut befinder sig i. Den ondsindede kode eksekveres altså, selvom man ikke klikker på shortcut.

Den ondsindede fil er et rootkit og en dropper der øjeblikkeligt gemmer de specielle shortcut (.lnk) filer.

Den ondsindede kode eksekveres, selvom AutoRun og AutoPlay er slået fra.

Sikkerhedseksperter forventer, at der vil dukke anden malware, der udnytter den meget kritiske sårbarhed i Windows.

Nedenstående video viser hvordan malwaren fungerer.

Kamera

Test: Dette smarte overvågningskamera kan både panorere og tilte og zoome - men et par ting er ikke særligt gennemtænkte

Seneste nyt

|Vis seneste uge

Skat

Disse 10 it-selskaber betaler mest i selskabsskat i Danmark: Se om din arbejdsgiver er med på listen

Klumme

Nørgaard: Derfor nærmer enden sig for Trump

Cloud computing

Bank: Oracle vil afskedige 30.000 og sælge sundhedsforretning for at frigøre midler til AI

Fibernetværk

Salget er godkendt: Norlys-ejede Sinal køber 135.000 fiberkunder

Læses lige nu

Digital sikkerhed

Regeringens cybersikkerhedsstrategi får tæv: Det er slet ikke en strategi

Annonce

Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.

Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.

Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.

Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

Digital transformation | Aarhus C

Derfor skal du videre fra Dynamics AX – og sådan gør du

Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

Sikkerhed | Online

Cyber Briefing: Fra databeskyttelse til dataindsigt

Få kort og fokuseret overblik over, hvordan du optimerer resiliens og gendannelse af kritiske informationer samt sikrer forretningens funktion, når cyberangrebet rammer.