Kaspersky Lab descopera ca vulnerabilitatea zero-day exploatata de Stuxnet inca ameninta utilizatorii
Expertii Kaspersky Lab au publicat raportul realizat in urma cercetarii "Windows usage and vulnerabilities", derulate in vara anului 2014. Conform concluziilor raportului, vulnerabilitatea CVE-2010-2568 a fost descoperita in anul 2010, in acelasi timp cu faimosul vierme cunoscut sub numele de Stuxnet. Programul malware care exploateaza aceasta vulnerabilitate este folosit si astazi pe scara larga si reprezinta o amenintare considerabila la adresa utilizatorilor: 19.000.000 de utilizatori s-au confruntat cu aceasta vulnerabilitate intr-un interval de opt luni, din noiembrie 2013 pana in iunie 2014.
CVE-2010-2568 reprezinta o bresa in securitatea comenzilor rapide din Windows, ce permite atacatorilor sa incarce un fisier arbitrar DLL fara ca utilizatorul sa stie. Aceasta vulnerabilitate afecteaza Windows XP, Vista si Windows 7 precum si Windows Server 2003 si 2008. Ea a fost exploatata si de Stuxnet, viermele detectat in iunie 2010, cunoscut pentru faptul ca a condus, se pare, la distrugerea fizica a echipamentului de imbogatire a uraniului de la centralele electrice nucleare din Iran.
In toamna anului 2010, Microsoft a lansat o actualizare de securitate care corecta aceasta vulnerabilitate. In ciuda acestui fapt, sistemele de detectare ale Kaspersky Lab inca inregistreaza milioane de instante de malware care exploateaza aceasta vulnerabilitate. Dintr-o analiza pe tari, a reiesit ca intervalul cu cele mai multe detectari a fost noiembrie 2013 – iunie 2014, cele mai vizate tari fiind Vietnam (42,45%), India (11,7%), Indonezia (9,43%), Brazilia (5,53%) si Algeria (3,74%).
In mod remarcabil, aceeasi cercetare indica faptul ca Vietnam, India si Algeria se afla pe lista tarilor cu cele mai multe descoperiri ale CVE-2010-2568 si printre tarile fruntase ca numar de utilizatori de Windows XP. Acest sistem de operare se afla pe primul loc la numarul de descoperiri ale CVE-2010-2568: 64,19% din detectari au fost raportate de pe computere cu Windows XP. Windows 7, in prezent cel mai utilizat sistem de operare din lume, se afla pe locul al doilea, cu 27,99% de descoperiri. Pe urmatoarele locuri se afla Windows Server 2008 si 2003 cu 3,99% respectiv 1,58% de descoperiri.
Expertii Kaspersky Lab subliniaza faptul ca, in acest caz, numarul mare de detectii nu inseamna neaparat un numar mare de atacuri. Din cauza modalitatilor distincte in care este exploatata aceasta vulnerabilitate, este imposibil sa faci o diferenta clara intre cazurile in care produsele Kaspersky Lab au protejat utilizatorii de atacuri reale cu malware care exploata CVE-2010-2568 si cazurile in care produsele au detectat comenzi rapide (shortcuts) vulnerabile, generate automat de un vierme anume.
Numarul mare de detectii CVE-2010-2568 demonstreaza ca, la nivel global, inca exista numeroase computere vulnerabile la atacuri de malware care exploateaza aceasta vulnerabilitate. Expertii Kaspersky Lab presupun ca majoritatea acestor detectii provin de la servere care nu sunt intretinute adecvat, care nu au actualizari regulate si nici o solutie de securitate; aceste servere ar putea fi preluate de viermi care utilizeaza malware ce exploateaza aceasta vulnerabilitate. Urmandu-si procedura automata, aceste programe de malware creeaza comenzi rapide (shortcuts) periculoase intr-un folder de acces general; de fiecare data cand un utilizator protejat de o solutie Kaspersky Lab care are acces la folder acceseaza o asemenea comanda rapida (shortcut), programul periculos este detectat.
„Aceasta situatie creeaza un risc permanent de infectare cu malware in organizatii in care aceste servere vulnerabile inca sunt operationale,” spune Vyacheslav Zakorzhevsky, Head of the Vulnerability Research Team la Kaspersky Lab. „Recomandam managerilor IT sa acorde o mai mare atentie la actualizarea software-ului pe computerele din companii si sa utilizeze instrumente adecvate de protectie impotriva amenintarilor cibernetice,” incheie Vyacheslav Zakorzhevsky.
Pentru a minimiza riscul atacurilor, expertii Kapersky Lab recomanda actualizarea regulata a programelor software folosite, stergerea celor neutilizate si instalarea unei solutii de securitate fiabila, echipata cu tehnologiile potrivite pentru a contracara atacurile.
De exemplu, sistemul Automatic Exploit Prevention al Kaspersky Lab este construit pentru a contracara tentativele de exploatare a vulnerabilitatilor necunoscute ale produselor software prin intermediul detectarii euristice, iar eficacitatea sa este confirmata de catre cercetatorii independenti. Tehnologia este incorporata atat in produsele Kaspersky Lab destinate utilizatorilor individuali, catsi in produsele pentru companii precum Kaspersky Internet Security Multi-Device, Kaspersky Small Office Security si Kaspersky Endpoint Security for Business.
