Kaspersky Lab descoperă că vulnerabilitatea zero-day exploatată de Stuxnet încă amenință utilizatorii

Experții Kaspersky Lab au publicat raportul realizat in urma cercetarii "Windows usage and vulnerabilities", derulate în vara anului 2014. Conform concluziilor raportului, vulnerabilitatea CVE-2010-2568 a fost descoperită în anul 2010, în același timp cu faimosul vierme cunoscut sub numele de Stuxnet.

 Programul malware care exploatează această vulnerabilitate este folosit și astăzi pe scară largă și reprezintă o amenințare considerabilă la adresa utilizatorilor: 19.000.000 de utilizatori s-au confruntat cu această vulnerabilitate într-un interval de opt luni, din noiembrie 2013 până în iunie 2014.

CVE-2010-2568 reprezintă o breșă în securitatea comenzilor rapide din Windows, ce permite atacatorilor să încarce un fișier arbitrar DLL fără ca utilizatorul să știe. Această vulnerabilitate afectează Windows XP, Vista și Windows 7 precum și Windows Server 2003 și 2008. Ea a fost exploatată și de Stuxnet, viermele detectat în iunie 2010, cunoscut pentru faptul că a condus, se pare, la distrugerea fizică a echipamentului de îmbogățire a uraniului de la centralele electrice nucleare din Iran.

În toamna anului 2010, Microsoft a lansat o actualizare de securitate care corecta această vulnerabilitate. În ciuda acestui fapt, sistemele de detectare ale Kaspersky Lab încă înregistrează milioane de instanțe de malware care exploatează această vulnerabilitate. Dintr-o analiză pe țări, a reieșit că intervalul cu cele mai multe detectări a fost noiembrie 2013 – iunie 2014, cele mai vizate țări fiind Vietnam (42,45%), India (11,7%), Indonezia (9,43%), Brazilia (5,53%) și Algeria (3,74%).

În mod remarcabil, aceeași cercetare indică faptul că Vietnam, India și Algeria se află pe lista țărilor cu cele mai multe descoperiri ale CVE-2010-2568 și printre țările fruntașe ca număr de utilizatori de Windows XP. Acest sistem de operare se află pe primul loc la numărul de descoperiri ale CVE-2010-2568: 64,19% din detectări au fost raportate de pe computere cu Windows XP. Windows 7, în prezent cel mai utilizat sistem de operare din lume, se află pe locul al doilea, cu 27,99% de descoperiri. Pe următoarele locuri se află Windows Server 2008 și 2003 cu 3,99% respectiv 1,58% de descoperiri.

Experții Kaspersky Lab subliniază faptul că, în acest caz, numărul mare de detecții nu înseamnă neapărat un număr mare de atacuri. Din cauza modalităților distincte în care este exploatată această vulnerabilitate, este imposibil să faci o diferență clară între cazurile în care produsele Kaspersky Lab au protejat utilizatorii de atacuri reale cu malware care exploata CVE-2010-2568 și cazurile în care produsele au detectat comenzi rapide (shortcuts) vulnerabile, generate automat de un vierme anume.

Numărul mare de detecții CVE-2010-2568 demonstrează că, la nivel global, încă există  numeroase computere vulnerabile la atacuri de malware care exploatează această vulnerabilitate. Experții Kaspersky Lab presupun că majoritatea acestor detecții provin de la servere care nu sunt întreținute adecvat, care nu au actualizări regulate și nici o soluție de securitate; aceste servere ar putea fi preluate de viermi care utilizează malware ce exploatează această vulnerabilitate. Urmându-și procedura automată, aceste programe de malware creează comenzi rapide (shortcuts) periculoase într-un folder de acces general; de fiecare dată când un utilizator protejat de o soluție Kaspersky Lab care are acces la folder accesează o asemenea comandă rapidă (shortcut), programul periculos este detectat.

„Această situație creează un risc permanent de infectare cu malware în organizații în care aceste servere vulnerabile încă  sunt operaționale,” spune Vyacheslav Zakorzhevsky, Head of the Vulnerability Research Team la Kaspersky Lab. „Recomandăm managerilor IT să acorde o mai mare atenție la actualizarea software-ului pe computerele din companii și să utilizeze instrumente adecvate de protecție împotriva amenințărilor cibernetice,” încheie Vyacheslav Zakorzhevsky.

Pentru a minimiza riscul atacurilor, experții Kapersky Lab recomandă actualizarea regulată a programelor software folosite, ștergerea celor neutilizate și instalarea unei soluții de securitate fiabilă, echipată cu tehnologiile potrivite pentru a contracara atacurile.

De exemplu, sistemul Automatic Exploit Prevention al Kaspersky Lab este construit pentru a contracara tentativele de exploatare a vulnerabilităților necunoscute ale produselor software prin  intermediul detectării euristice, iar eficacitatea sa este confirmată de către cercetătorii independenți. Tehnologia este încorporată atât în produsele Kaspersky Lab destinate utilizatorilor individuali, câtși în produsele pentru companii precum Kaspersky Internet Security Multi-Device, Kaspersky Small Office Security și Kaspersky Endpoint Security for Business.