Stuxnet zero-day sérülékenységet kihasználó exploit

Hackerek nyilvánosságra hoztak egy poc (proof-of-concept) exploit kódot, egy jelenleg még javítatlan Windows Vista és Windows 7 jogosultság kiterjesztéses sérülékenységhez, melyet a hírhedt Stuxnet féregvírus is használt.

A férget egy fehérorosz antivírus fejlesztő, a VirusBlokAda fedezte fel még júliusban és azonnal felkeltette a biztonsági cég figyelmét, mert egy korábban még ismeretlen Windows sérülékenységet használt ki, az USB eszközökön keresztüli terjedéshez.

A (CVE-2010-2568)-ként azonosított kritikus hiba, bizonyos LNK fájlok kezelésének módjából ered és a Microsoft rendkívüli frissítésben javította augusztus elején.

Biztonsági fejlesztők arra is rájöttek, hogy a káros szoftver a helyi hálózatokon is terjed, kihasználva egy másik zero-day sérülékenységet (CVE-2010-2729), mely a Windows nyomtatási sor kezelőjében volt és szeptemberben került javításra.

A féreg a sérülékenységet kihasználva, helyi shell-eken keresztül továbbterjed a hálózat azon gépein, melyeken volt megosztott nyomtató. Mindemellett ahhoz, hogy rendszergazdai jogokkal tudjon kódot futtatni, a Stuxnet egy-egy helyi jogosultság kiterjesztési hibát is használt, egyet XP és egyet Vista vagy Window 7 esetén.

Az XP ezen sérülékenységét a Microsoft, az októberi ”patch thuesday” (frissítési kedd) keretein belül javította, valamint bejelentették, hogy a másik és egyben utolsó hasonló bug a következő hibajavító csomagban orvosolva lesz. Mivel azonban ezt a gyártó a novemberi frissítésekkel sem tette meg, a sérülékenység még mindig zero-day kategóriájú és múlt vasárnap egy poc (proof-of-concept) exploit-ot hoztak nyilvánosságra a hibához.

Ezt a biztonsági rést, a Stuxnet-en kívül, jelenleg nem használják széles körben más támadásokhoz. A skeres kihasználás előfeltétele, hogy a támadó előbb korlátozott hozzáférést szerezen a rendszerhez.

Valószínűsíthető, hogy a Microsoft egy rendkívüli frissítést fog kiadni, hogy javítsa a hibát, mindemellett valószínű az is, hogy ez csak a következő hónap ”patch thuesday” keretén belül lesz rendezve, ami december 14-re esik.

A cég egyébként egy másik, jelenleg is kihasználható zero-day sérülékenységgel is küzd, (CVE-2010-3962) mely az Internet Explorer-ben található.

http://news.softpedia.com/news/Exploit-Code-for-Fourth-Stuxnet-Zero-Day-Publicly-Released-167785.shtml