«Дыра» Stuxnet: уязвимость никуда не делась

Старая уязвимость, которую использовал пресловутый «боевой червь» Stuxnet, по-прежнему жива, и страдают от нее миллионы, хотя патч для нее был выпущен несколько лет назад. Уязвимость, о которой идет речь, —

Старая уязвимость, которую использовал пресловутый «боевой червь» Stuxnet, по-прежнему жива, и страдают от нее миллионы, хотя патч для нее был выпущен несколько лет назад.

Уязвимость, о которой идет речь, — CVE 2010-2658, обнаруженная в 2010 году и присутствующая в Windows XP (это означает, что ей, вероятно, до девяти лет от роду), а также в Vista, Windows 7 и Windows Server 2003/2008.

Ее быстро (относительно) исправили в Microsoft: Stuxnet обнаружили в июне 2010 года, Microsoft признала проблему 16 июля 2010 года, за чем последовал выход патча 2 августа того же года. Согласно Microsoft, эта уязвимость позволяла осуществлять «удаленное выполнение кода при отображении иконки специально сконструированного ярлыка. Злоумышленник, успешно воспользовавшийся данной уязвимостью, может получить те же права, что и локальный пользователь. Риск для пользователей, учетные записи которых имеют ограниченные права в системе, может быть меньше, чем для пользователей, работающих с правами администратора». Проблема была обозначена как критическая.

С той поры прошло четыре года. В период с ноября 2013 по июнь 2014 гг. «Лаборатория Касперского» проводила исследование под названием «Уязвимости и использование ОС Windows». По его данным, системы обнаружения «Лаборатории Касперского» все еще регистрируют миллионы случаев, когда вредоносные программы используют уязвимость CVE-2010-2568. В исследуемый период более 19 миллионов пользователей столкнулись с этой угрозой.

Инциденты с вредоносным ПО, нацеленным на данную уязвимость, чаще всего обнаруживались на компьютерах пользователей, проживающих во Вьетнаме (42,45%), Индии (11,7%), Индонезии (9,43%), Бразилии (5,52%) и Алжире (3,74%). Ниже приведен график.

Неудивительно, что Вьетнам, Индия, и Алжир оказались в списке стран с наибольшим числом обнаружений CVE-2010-2568, так как они входят в число стран-лидеров по количеству пользователей, по-прежнему не расстающихся с Windows XP, поддержку которой Microsoft прекратила в апреле этого года.

Именно эта операционная система занимает первое место по числу обнаружений CVE-2010-2568: 64,19% были зарегистрированы на компьютерах под управлением Windows XP. Опять же, в этом нет ничего удивительного.

Windows 7 в настоящее время наиболее широко используется в мире и занимает второе место с 27,99% обнаружений. Далее следуют Windows Server 2008 и 2003 с 3,99% и 1,58% обнаружений, соответственно.

В данном конкретном случае, большое количество обнаружений необязательно равно большому количеству атак. На самом деле из-за своеобразности использования этой уязвимости нельзя уверенно разделить случаи, когда продукты «Лаборатории Касперского» защитили от реальной атаки вредоноса, эксплуатирующего CVE-2010-2568, и случаи, когда они только выявляли уязвимые ярлыки, автоматически генерируемые специальным червем.

Тем не менее, все еще многочисленные обнаружения CVE-2010-2568 являются свидетельством того, что в глобальном масштабе до сих пор много компьютеров уязвимы для атак с участием вредоносных программ, эксплуатирующих эту уязвимость. Это также явный признак того, что эти компьютеры подвержены и многим другим уязвимостям, по крайней мере, часть из которых эксплуатируются вредоносным ПО. Плохо обслуживаемые машины Windows XP являются основным «кормом» для ботнетов сегодня, что означает, что они также являются источником глобальных проблем ИТ-безопасности. Источник, который еще не скоро куда-либо денется.

Что касается вышеупомянутой уязвимости и обнаружений, то специалисты «Лаборатории Касперского» предположили, что большинство из них происходят из не должным образом обслуживаемых серверов, лишенных регулярных обновлений ПО и установленных защитных решений. Эти серверы также могут быть населены червями, эксплуатирующими данную уязвимость.

Следуя логике своего предназначения, такие программы привычно создают вредоносные ярлыки в папке общего доступа. И каждый раз, когда пользователь, защищенный решениями «Лаборатории Касперского», получает доступ к этой папке и кликает такой ярлык, происходит обнаружение. В этом очевидный риск заражения вредоносным ПО в организациях, использующих такие серверы и ПК.

Вот и еще повод призвать к глобальному ИТ-субботнику пользователей и компании. ИТ-безопасность касается всех, и во взаимосвязанном мире халатность в обращении с одним сервером может создать большие проблемы для многих людей сразу.

Подробности данного исследования доступны на Securelist.

Советы