Kaspersky Lab och Microsoft i samarbete mot nya masken Stuxnet

Kaspersky Lab har samarbetat med Microsoft för att framgångsrikt täppa till en allvarlig säkerhetslucka i Microsoft Windows

Sårbarheten i Windows klassificerades som sorten ”zero-day” när den upptäcktes och har utnyttjats av den beryktade Stuxnet-masken. Zero-day syftar på attacker som utnyttjar sårbarheter som inte är allmänt kända och för vilka säkerhetsuppdateringar ännu inte finns. Stuxnet, med det officiella namnet Worm.Win32.Stuxnet, är anmärkningsvärd då dess huvudsakliga användningsområde är inom industrispionage. Masken är utvecklad för att få tillgång till operativsystemet Siemens WinCC som används för datainsamling och processövervakning.

Ända sen masken dök upp för första gången i juli 2010 har IT-säkerhetsspecialister hållit Stuxnet under noggrann bevakning. Experter på Kaspersky Lab har lagt ner mycket tid på att studera hur Stuxnet är uppbyggd och har upptäckt att masken, utöver säkerhetsluckan för hantering av LNK- och PIF-filer som först upptäcktes, även utnyttjar fyra andra sårbarheter i Windows.

Ett exempel är MS08-067, som även användes av den ökända Kido-masken (Conficker) i början av 2009. De andra tre sårbarheterna var tidigare okända och finns i den aktuella versionen av Windows.

Tillsammans med MS08-067 använder Stuxnet dessutom en annan säkerhetslucka för att föröka sig. Denna finns i Windows program Print Spooler och kan användas för att skicka skadlig kod till en dator på distans där koden sedan exekveras. Infektionen kan spridas till datorer kopplade till en skrivare eller genom delad tillgång till skrivare. När Stuxnet har infekterat en nätverksansluten dator försöker den sprida sig till andra datorer i nätverket.

Så fort Kaspersky Labs experter upptäckte säkerhetsluckan rapporterade de detta till Microsoft som genomförde en egen analys med samma resultat. Säkerhetsluckan betraktades som kritisk och Microsoft släppte inom kort säkerhetspatchen MS10-061 den 14 september 2010.

Kaspersky Lab upptäckte ännu en säkerhetslucka av samma sort (zero-day) i koden hos Stuxnet. Den klassificerades som en säkerhetslucka av typen Elevation of Privilege (EoP) vilken kan utnyttjas av masken för att få full kontroll över den infekterade datorn. En liknande EoP-klassad säkerhetslucka upptäcktes av Microsoft. Båda kommer att korrigeras i kommande säkerhetspatchar för Windows.

Alexander Gostev, säkerhetsexpertchef hos Kaspersky Lab, spelade en aktiv roll i identifieringen av det nya hotet och samarbetade med Microsoft för att lösa problemet. Alexander har skrivit ett informativt blogginlägg om området.

– Stuxnet är det första skadliga programmet som utnyttjar så många som fyra säkerhetsluckor samtidigt, säger Alexander Gostev. Detta är det första hot vi har stött på som har medfört så många överraskningar. Sårbarheten måste ha varit värd en förmögenhet för hackare innan vi upptäckte den. Eftersom Stuxnet även använder digitala certifikat från Realtek och Jmicron, och då masken ursprungligen skapades för att stjäla data lagrad i Simatec Wincc SCADA, har detta hot varit helt oförutsägbart. Jag måste erkänna att utvecklarna av den skadliga koden verkligen är skickliga programmerare.

Alla produkter från Kaspersky Lab kan upptäcka och oskadliggöra Worm.Win32.Stuxnet.

För mer information vänligen kontakta:
Ronald Binnerstedt, teknikchef
Kaspersky Lab AB
Mobil: 070-323 19 94
E-post: ronald.binnerstedt@kaspersky.se