Kritisk Windows-sårbarhed indbyder til masseudnyttelse

Forvent mere malware, der udnytter den kritiske Windows-sårbarhed, som virus benytter sig af.

22. juli 2010 kl. 13.30

Ny variant af Stuxnet

En ny variant af industri-virussen som kaldes Stuxnet er blevet fundet. Den oprindelige malware var udstyret med et digitalt certifikat fra chip-producenten Realtek.

Nu meldes der om, at en ny variant er blevet fundet med et digitalt certifikat fra JMicron Technology Corp.

Interessant nok har både Realtek og JMicron Technology kontorer i Hsinchu Science Park i Taiwan.
Realtek ligger på Innovation Road II, mens JMicron ligger på Innovation Road 1

Revoke af digitalt certifikat til hvilken nytte?

I lørdags annoncerede Microsoft og Verisign, at de havde trukket det digitale certifikat tilbage. Umiddelbart skulle man tro, at det ville dekativere Stuxnet, men ifølge sikkerhedsanalytikeren Chester Wisniewsky er det ikke tilfældet. Chester Wisniewsky har sammen med en kollega nemlig set nærmere på, hvordan Windows håndterer signerede drivere og DLL'er.

Under overskriften "Certificeret uskkerhed" skriver Chester Wisnieski:

"Jeg troede, at når et certifikat blev trukket tilbage ville det forhindre drivere, der var signeret med det certifikat, i at loade i Windows. Det er kun delvist rigtigt; det vil kun forhindre drivere, som er signeret efter certifikatet er trukket tilbage, i at loade i Windows.
Det betyder, at alle eksisterende kopier af Stuxnet som er derude stadig vil blive eksekveret.
Hvorfor så overhovedet trække certifikatet tilbage? Jeg har ingen ide. Det betyder absolut ingenting, såvidt jeg kan se, bortset fra at det giver indtryk af, at "powers-that-be" handler for at beskytte os. Jeg har kontaktet Verisign's PR-afdeling for at høre mere, men jeg har ikke modtaget noget svar endnu.

Microsoft er i gang med at udvikle en patch for at forhindre udnyttelse af en nylig opdaget sårbarhed, der vedrører stort set alle versioner af Windows.

Sårbarheden udnyttes af den ondsindede industri-orm, som går specifikt efter Siemens SCADA-system Simatic, men sikkerhedseksperter forventer, at der ikke vil gå lang tid førend anden malware vil florere og udnytte sårbarheden.

Microsoft bekræftede sårbarheden i fredags og foreslog workarounds så virksomheder og privatpersoner kan undgå at deres computere inficeres af virussen, men Microsoft har endnu ingen patch af sårbarheden.

Patch før Patch Tuesday?

Microsoft opdaterede sin sikkerhedsadvarsel i tirsdags. Status er at "Microsoft er ved at udvikle en sikkerhedsopdatering til Windows, der vil adressere sårbarheden."

Microsoft har ikke sagt noget om hvorvidt virksomheden vil vente indtil den næste planlagte Patch Tuesday den 10. august med at udsende sikkerhedsopdateringen eller om den vil blive tilgængelig inden da.

Microsoft har foreslået to workarounds; en der forhindrer shortcuts i at blive vist som ikoner og en anden der slår WebClient servicen fra, så fjernangreb forhindres.

De foreslåede workarounds er dog beskrevet som "i høj grad upraktiske i de fleste miljøer" af Chester Wisniewski,
en sikkerhedsanalytiker fra it-sikkerhedsfirmaet Sophos.

Anvender shortcuts

Sårbarheden eksisterer fordi Windows fortolker specielt udformede shortcuts forkert og dermed tillader eksekvering af ondsindet kode.

Sårbarheden opstår grundet måden shell32.dll loader control panel ikoner fra appleter.
En specielt udformet shortcut (.lnk fil), der peger på en ondsindet fil kan få Windows Explorer til uden videre at eksekvere den ondsindede fil. Det sker selvom man blot kigger i den folder som shortcut befinder sig i. Den ondsindede kode eksekveres altså, selvom man ikke klikker på shortcut.

Den ondsindede fil er et rootkit og en dropper der øjeblikkeligt gemmer de specielle shortcut (.lnk) filer.

Den ondsindede kode eksekveres, selvom AutoRun og AutoPlay er slået fra.

Sikkerhedseksperter forventer, at der vil dukke anden malware, der udnytter den meget kritiske sårbarhed i Windows.

Nedenstående video viser hvordan malwaren fungerer.

iPhone

Stor opdatering på vej til din iPhone: Krypterer dine beskeder og åbner for annoncer

Seneste nyt

|Vis seneste uge

Passwords

Dine adgangskoder kan ligge frit fremme i udbredt browser

Jobskifte

IFS Danmarks landechef, Jesper Illum, forlader selskabet: Her er hans nye job

AI-lab 2026

AI-lab #31: Nu kan Google Gemini endelig huske - sådan fungerer dens hukommelse

Supercomputer

AI-revolutionen er ved at forandre en af Danmarks største industrivirksomheder – og en ny supercomputer viser hvordan

Læses lige nu

Cloud computing

Vigtige faktorer er ved at ændre markedet: Presser mange virksomheder over mod øget cloud-brug

Annonce

Event: Årets CIO 2026

Andre events | Kongens Lyngby

Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

4 juni 2026 | Gratis deltagelse