Os PCs com Windows permaneceram vulneráveis ​​a ataques semelhantes ao Stuxnet apesar do patch de 2010

Se você corrigiu seus computadores Windows em 2010 contra o exploit LNK usado pelo Stuxnet e pensou que você estava seguro, os pesquisadores da Hewlett-Packard têm más notícias para você: a correção da Microsoft foi falha.

Em janeiro, O pesquisador Michael Heerklotz relatou em particular à Zero Day Initiative (ZDI) da HP que o patch LNK lançado pela Microsoft há quatro anos pode ser contornado.

Isso significa que nos últimos quatro anos os atacantes poderiam ter a engenharia reversa da Microsoft para criar novos Explorações do LNK que poderiam infectar computadores Windows quando dispositivos de armazenamento USB fossem conectados a eles. No entanto, ainda não há informações que sugiram que isso tenha acontecido

[Leia mais: Como remover malware do seu PC Windows]

O ataque original, que explorou uma vulnerabilidade na exibição de ícones do Windows para arquivos de atalho (LNK) foi usado para espalhar o Stuxnet, um worm de computador que sabotou centrífugas de enriquecimento de urânio na instalação nuclear do Irã em Natanz. O Stuxnet, que se acredita ter sido criado pelos EUA e Israel, foi descoberto em junho de 2010 depois de ter se espalhado. alvo e acabaram infectando dezenas de milhares de computadores em todo o mundo. A vulnerabilidade do LNK, rastreada como CVE-2010-2568, foi uma das várias falhas de dia zero, ou anteriormente desconhecidas, que o Stuxnet explorou. A Microsoft corrigiu a falha em agosto do mesmo ano como parte de um boletim de segurança chamado MS10-046.

“Para evitar esse ataque, a Microsoft fez uma verificação clara com o MS10-046, lançado no início de agosto de 2010”, afirma a HP. disseram os pesquisadores em um post no blog terça-feira. “Uma vez que o patch foi aplicado, em teoria, apenas arquivos aprovados .CPL deveriam ter sido usados ​​para carregar ícones não padronizados para links.”

“O patch falhou”, disseram eles. “E por mais de quatro anos, todos os sistemas Windows foram vulneráveis ​​a exatamente o mesmo ataque que o Stuxnet usou para a implantação inicial.”

A ZDI relatou o desvio do LNK encontrado por Heerklotz para a Microsoft, que o tratou como uma nova vulnerabilidade ( CVE-2015-0096) e o fixou na terça-feira como parte do MS15-020. Os pesquisadores da ZDI planejam examinar a nova atualização para ver se existem outros desvios possíveis.

No entanto, aplicando a solução alternativa publicada pela Microsoft em 2010, que envolve o uso do editor de registro para desabilitar manualmente a exibição de ícones para arquivos de atalho,

Enquanto o ataque LNK foi descoberto como parte do Stuxnet, pesquisadores de segurança da Kaspersky Lab descobriram recentemente que outro worm de computador, chamado Fanny, o usava desde 2008. Fanny faz parte de um arsenal de malware usado por um grupo de espionagem cibernética altamente sofisticado que a Kaspersky apelidou de Equação.

Conforme revelado por um relatório da Kaspersky Lab em agosto de 2014, a exploração da vulnerabilidade CVE-2010-2568 original permaneceu generalizada mesmo após o patch da Microsoft em 2010 , principalmente porque a exploração foi integrada em ameaças mais comuns, como o worm Sality. De julho de 2010 a maio de 2014, a Kaspersky Lab detectou mais de 50 milhões de instâncias da exploração CVE-2010-2568 em mais de 19 milhões de computadores em todo o mundo.