Güvenlik Duvarı

Stuxnet solucanının kullandığı bir istismar için bir Microsoft yaması eksikti araştırmacılar buldu

Eğer Windows bilgisayarlarınızı Stuxnet tarafından kullanılan LNK istismarına karşı yamaladıysanız ve güvenli olduğunu düşündüğünüzde, Hewlett-Packard'ın araştırmacılarının sizin için bazı kötü haberleri var: Microsoft'un düzeltmesi hatalıydı.

Ocak ayında, Araştırmacı Michael Heerklotz, HP'nin Zero Day Initiative'e (ZDI), Microsoft'un dört yıl önce yayınladığı LNK yamasının atlanabileceğini özel olarak bildirdi.

Bu, geçen dört yıl boyunca saldırganların, Microsoft'un yeni bir sistem oluşturması için tersine mühendislik uygulayabileceği anlamına geliyor. USB depolama aygıtları bunlara takıldığında Windows bilgisayarlarına bulaşabilecek LNK exploitleri. Ancak, bunun gerçekleştiğini gösteren bir bilgi yok.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Windows'un, kısayol (LNK) dosyaları için simgeleri nasıl görüntülediği konusunda bir güvenlik açığından yararlanan orijinal saldırı İran'ın nükleer tesisinde Natanz'da uranyum zenginleştirme santrifüjlerini sabote eden bir bilgisayar solucanı olan Stuxnet'i yaymak için kullanıldı.

ABD ve İsrail tarafından yaratıldığına inanılan Stuxnet, Haziran 2010'da amaçlanan hedef ve dünya çapında onbinlerce bilgisayara bulaştırarak sona erdi. CVE-2010-2568 olarak izlenen LNK açığı, Stuxnet'in istismar ettiği birkaç sıfır gün veya daha önceden bilinmeyen hatalardan biriydi. Microsoft, MS10-046 adlı güvenlik bülteninin bir parçası olarak aynı yılın Ağustos ayında kusurunu yattı.

"Bu saldırıyı önlemek için Microsoft, 2010 yılının Ağustos ayında piyasaya sürülen MS10-046 ile açık bir beyaz liste kontrolünü uygulamaya koydu." araştırmacılar Salı günü bir blog yayınında söyledi. “Bu yama uygulandıktan sonra, teoride sadece onaylanmış .CPL dosyaları, bağlantılar için standart olmayan simgeleri yüklemek için kullanılabilir olmalıdır.”

“Yama başarısız oldu” diyorlar. “Dört yıldan uzun bir süredir, tüm Windows sistemleri Stuxnet'in ilk dağıtımı için kullandıkları saldırıya karşı savunmasız kalıyor.”

ZDI, Heerklotz tarafından Microsoft'a bulunan LNK yama baypasını yeni bir güvenlik açığı olarak değerlendirdi. CVE-2015-0096) ve MS15-020'nin bir parçası olarak Salı günü sabitledi. ZDI araştırmacıları, diğer olası baypasların olup olmadığını görmek için yeni güncellemeyi incelemeyi planlıyorlar.

Ancak, Microsoft tarafından 2010'da yayınlanan ve kısayol dosyaları için simgelerin görüntülenmesini manuel olarak devre dışı bırakmak için kayıt defteri düzenleyicisini kullanma ile ilgili geçici çözümün uygulanması, Son kusurlara karşı da koruyacaklarını söylediler.

LNK saldırısı Stuxnet'in bir parçası olarak keşfedilirken, Kaspersky Lab'in güvenlik araştırmacıları, Fanny denen bir başka bilgisayar solucanının 2008'den beri kullandığını buldu. Kaspersky'nin Denklem olarak adlandırdığı son derece sofistike bir siberespionaj grubu tarafından kullanılan bir kötü amaçlı yazılım cephaneliği.