Мирт и гуава: Эпизод MS10-061

Червь Stuxnet на протяжении последних недель продолжает оставаться любимым объектом исследования со стороны антивирусных компаний.

Наша серия публикаций о нем сопровождала громадный объем исследовательской работы, которую проводили и наши специалисты. Одним из результатов этой работы стало обнаружение еще нескольких zero-day уязвимостей в Windows, использованной в Stuxnet.

Верно, еще нескольких.

До сих пор основное внимание привлекала уязвимость в обработке LNK/PIF файлов, при помощи которой червь распространялся через съемные накопители и сетевые ресурсы.

Однако, это, к сожалению, оказалось не единственным сюрпризом, со стороны неизвестных авторов Stuxnet.
Дело в том, что распространение червя происходит не только при помощи вредоносных LNK-файлов. Заразив компьютер внутри локальной сети, Stuxnet пытается проникнуть на другие компьютеры, используя еще два различных способа.

Первый из них – атака с использованием уязвимости MS08-067. Напомним, что такую же уязвимость использовал и широко известный червь Kido (Conficker) в начале 2009 года.

Несмотря на то, что код эксплоита этой уязвимости в Stuxnet несколько отличается от Kido, это не столь интересный факт, как второй способ распространения.

Кроме MS08-067 Stuxnet содержит в себе эксплоит ранее неизвестной уязвимости в службе Print Spooler, позволяющей передать и выполнить вредоносный код на удаленном компьютере. В результате в атакованной системе появляются файлы winsta.exe и sysnullevent.mof.

Интерес представляет не только способ передачи вредоносного кода на удаленный компьютер, но и используемый способ его дальнейшего запуска на исполнение.

Исходя из особенностей уязвимости – заражению подвержены компьютеры использующие принтер и предоставляющие к нему общий доступ.

Сразу же после обнаружения уязвимости мы уведомили Microsoft о найденной проблеме и наши выводы были подтверждены их специалистами.

Уязвимость классифицирована как «Print Spooler Service Impersonation Vulnerability» и ей присвоен статус «критической». Сегодня Mictosoft выпустил патч MS10-061, исправляющий данную уязвимость.

В ходе анализа уязвимости в службе Print Spooler мы провели поиск среди других вредоносных программ в нашей коллекции, на предмет возможного использования этой же уязвимости. К счастью, подобных вредоносных программ обнаружено не было.

Кроме того, в коде Stuxnet экспертами «Лаборатории Касперского» была обнаружена еще одна уязвимость «нулевого дня», относящаяся к классу Elevation of Privilege, которая использовалась червем для получения полного контроля над зараженной системой. Вторая аналогичная уязвимость (EoP) была обнаружена специалистами Microsoft. Обе данные уязвимости будут исправлены в будущих обновлениях для ОС Windows.

Факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории. До сих пор нам не приходилось сталкиваться с угрозами, которые содержали бы в себе столько «сюрпризов». Добавьте к этому использование подлинных цифровых сертификатов Realtek и JMicron, и вспомните об основной цели червя – получении доступа к информации промышленных систем Simatic WinCC SCADA.

Несомненно, Stuxnet был создан профессионалами, обладающими обширными знаниями о существующих антивирусных технологиях и их слабых местах, информацией о неизвестных уязвимостях, архитектуре и устройстве WinCC и PSC7.

Более двух месяцев мы, совместно с специалистами Microsoft и других антивирусных компаний, исследовали Stuxnet. Полученная нами информация, в том числе и о деталях работы уязвимостей, будет представлена в конце сентября на конференции Virus Bulletin в Канаде.