Новая Windows-уязвимость, используемая Stuxnet, закрыта при сотрудничестве "Лаборатории Касперского" и Microsoft

[Мирный Атом]

"Лаборатория Касперского" сообщает, что благодаря

сотрудничеству с компанией Microsoft была закрыта серьезная уязвимость

операционной системы Microsoft Windows.

 

Уязвимость, которая в момент своего обнаружения имела статус нулевого

дня, использовалась нашумевшим компьютерным червем Worm.Win32.Stuxnet.

Данный червь примечателен тем, что, по сути, является инструментом

промышленного шпионажа, - он предназначен для получения доступа к

системе Siemens WinCC, которая отвечает за сбор данных и оперативное

диспетчерское управление производством.

 

Со времени обнаружения в июле 2010 года Worm.Win32.Stuxnet продолжает

оставаться объектом пристального внимания антивирусных специалистов.

После кропотливой исследовательской работы эксперты "Лаборатории

Касперского" выяснили, что, помимо уязвимости в обработке LNK/PIF

файлов, Stuxnet использует еще четыре уязвимости Windows, одну из

которых (MS08-067), использовал и широко известный червь Kido

(Conficker) в начале 2009 года.

 

Однако три других уязвимости были ранее неизвестны и затрагивали

актуальные версии Windows.

 

Для своего распространения по сети Stuxnet, помимо MS08-067, использует

уязвимость в службе Диспетчер печати (Print Spooler) Windows, которая

позволяет передать и выполнить вредоносный код на удаленном компьютере.

Исходя из особенностей уязвимости, заражению подвержены компьютеры,

использующие принтер и предоставляющие к нему общий доступ. Заразив

компьютер внутри локальной сети, через данную лазейку Stuxnet пытался

проникнуть на другие машины.

 

Сразу после обнаружения уязвимости эксперты "Лаборатории

Касперского" уведомили Microsoft о найденной проблеме; их выводы

были подтверждены специалистами производителя ОС. Уязвимость

классифицирована как Print Spooler Service Impersonation Vulnerability и

ей был присвоен статус критической. В Microsoft немедленно приступили к

созданию соответствующего патча MS10-061, который был выпущен 14

сентября 2010 г.

 

Кроме того, специалисты "Лаборатории Касперского" обнаружили

еще одну уязвимость "нулевого дня", относящуюся к классу

Elevation of Privilege, которая использовалась червем для получения

полного контроля над зараженной системой. Вторая аналогичная уязвимость

(EoP) была обнаружена специалистами Microsoft. Обе уязвимости будут

исправлены в будущих обновлениях для ОС Windows.

 

Главный антивирусный эксперт "Лаборатории Касперского"

Александр Гостев, принявший непосредственное участие в обнаружении и

исправлении уязвимостей вместе со специалистами Microsoft, опубликовал

на эту тему интересный блогпост. Полученная в ходе исследования червя

Stuxnet информация, в частности, о деталях работы всех уязвимостей,

будет представлена в конце сентября 2010 года на конференции Virus

Bulletin в Канаде.

 

Александр Гостев отмечает в своем блоге

(http://www.securelist.com/ru/blog/34355/Mi...Epizod_MS10_061),

что "факт наличия сразу четырех уязвимостей, впервые

использованных в Stuxnet, делает данную вредоносную программу

действительно уникальным явлением в истории. До сих пор нам не

приходилось сталкиваться с угрозами, которые содержали бы в себе столько

сюрпризов. Добавьте к этому использование подлинных цифровых

сертификатов Realtek и JMicron, и вспомните об основной цели червя

- получении доступа к информации промышленных систем Simatic WinCC

SCADA. Стоит отметить и очень высокий уровень программирования,

продемонстрированный авторами червя".

 

Червь Worm.Win32.Stuxnet успешно детектируется и нейтрализуется всеми

продуктами "Лаборатории Касперского".

 

Источник: http://www.kaspersky.ru/news?id=207733316

Изменено 15 сентября, 2010 пользователем НФР

[Mark D. Pearlstone]

Как обычно: когда найдено, а когда исправлено.

[Bl@ckMC]

Хорошая работа,только быстрее бы эти уязвимости залатали уже.

[_Strannik_]

Хорошая новость..надо обновить винду.

[Nikolay Lazarenko]

Гостеву честь и уважуха

Врядли бы конкуренты стали помогать Майкрософту в закрытии бреши

[Kaspersky User]

молодцы ЛК! я всегда знал, что вы самые лучшие! так держать! :) Молодцы

[Rassven]

Браво ЛК! настоящего шпиёна обезвредили. Вирус на заказ это что-то настораживает...

[mennen]

Врядли бы конкуренты стали помогать Майкрософту в закрытии бреши wink.gif

 

Пройдите по ссылке там как раз про конкурентов, которые тоже помогали

[Nikolay Lazarenko]

Пройдите по ссылке там как раз про конкурентов, которые тоже помогали

Не факт,что делали это они для проформы

[tolid]

Не факт,что делали это они для проформы

 

иногда стоит не только жевать, но и думать ...

[Kapral]

Сообщение от модератора Kapral

Уважительнее друг к другу.... уважительнее

[mennen]

Не факт,что делали это они для проформы

 

Вы правы, другим антивирусным лабораториям просто заняться нечем было..

А в блогах Symantec еще от 16 июля стали появляться сообщения о черве видимо для отчета перед начальством

Кстати в Eset тоже писали.

[Nikolay Lazarenko]

Вы правы, другим антивирусным лабораториям просто заняться нечем было..

А в блогах Symantec еще от 16 июля стали появляться сообщения о черве видимо для отчета перед начальством

Кстати в Eset тоже писали.

Молодцы,значит заинтересованы Кому-то просто выгодно отлавливать этот новый класс червей,чем способствовать закрытию уязвимостей.Похвально,что наши коллеги-конкуренты сделали посильный вклад в борьбе с данной шпионщиной

[klub-p]

в Лаборатория Касперского конечно все МОЛОДЦЫ. Но и конкуренты тоже не дремлют.