Kaspersky Lab ha attivamente collaborato con Microsoft per risolvere con successo alcune gravi vulnerabilità "zero-day" presenti in Microsoft Windows, grazie alle quali il famigerato worm Stuxnet ha potuto avere una così profonda diffusione. La prima pezza è arrivata con il Patch Day di settembre, mentre per gli altri 2 correttivi sarà necessario attendere i prossimi aggiornamenti.
Gli esperti Kaspersky hanno analizzato in profondità le caratteristiche del temibile worm fin dalla sua prima comparsa nel luglio 2010, scoprendo come questo si appoggiasse non solo sulla già nota vulnerabilità di Windows nel trattamento dei file LNK e PIF, ma anche su altre gravi falle: la prima faceva riferimento al bollettino MS08-067 e riguardava una debolezza utilizzata anche dal famigerato worm Kido (Conficker), mentre le altre tre erano ancora sconosciute. Insieme a l’MS08-067, Stuxnet utilizza anche un'altra vulnerabilità per diffondersi.
Questa è presente nel servizio di stampa Windows Print Spooler, e può essere utilizzata per inviare un codice maligno a un computer remoto, dove poi viene eseguito. In virtù delle caratteristiche di questa vulnerabilità, l'infezione può diffondersi nei computer utilizzando una stampante o tramite l’accesso condiviso ad una di queste. Dopo aver infettato un computer connesso ad una rete, Stuxnet tenta quindi di diffondersi sugli altri computer.
Non appena gli esperti di Kaspersky Lab hanno rilevato questa vulnerabilità, l'hanno segnalata a Microsoft. Microsoft l’ha analizzata e ha confermato i risultati di Kaspersky Lab. La vulnerabilità è stata classificata come “Print Spooler Service Impersonation” ed è stata valutata come “critica”. Microsoft ha iniziato a lavorare immediatamente per riparare la vulnerabilità ed ha successivamente rilasciato la patch MS10-061, il 14 settembre 2010. 
Gli esperti di Kaspersky Lab hanno inoltre rilevato un'altra vulnerabilità zero-day contemplata dal codice Stuxnet, classificata come vulnerabilità "Elevation of Privilege" (EOP), che potrebbe essere sfruttata dal worm per ottenere il controllo completo sul computer infetto. Una seconda vulnerabilità di tipo EOP è stata rilevata dagli esperti di Microsoft; entrambe le vulnerabilità verranno corrette nei prossimi aggiornamenti di sicurezza per sistemi operativi Windows.
Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha avuto un ruolo attivo nell'individuare la nuova minaccia e ha collaborato in stretto contatto con Microsoft per risolvere il problema. Gostev ha poi pubblicato un post informativo sul tema. I dati raccolti durante l'analisi di Stuxnet, compresi i dettagli di come le vulnerabilità possono essere sfruttate, saranno presentati in Canada, in occasione della conferenza “Virus Bulletin” a settembre.
"Stuxnet è stato il primo programma malware a sfruttare contemporaneamente fino a quattro vulnerabilità. Questo rende Stuxnet davvero unico: si tratta infatti della prima minaccia che abbiamo scoperto che contiene così tante sorprese in un unico pacchetto", ha dichiarato Alexander Gostev.
"Prima che la scoprissimo, questa nuova vulnerabilità ha rappresentato una grande risorsa per gli hacker. Dato che Stuxnet utilizza anche i certificati digitali Realtek e JMicron - e ricordo anche che questo worm è stato progettato per rubare i dati memorizzati in Stic WinCC SCADA - queste caratteristiche lo rendono davvero una minaccia senza precedenti. Va riconosciuto che, in questo caso, i creatori di malware hanno dimostrato grandi capacità di programmazione". Tutti i prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare con successo il Worm.Win32.Stuxnet. Via: Fullpress Foto: Securelist
Dal mese di settembre sarà possibile approfittare delle promozioni Kaspersky Lab sull’acquisto di PURE e di Kaspersky Small Office Security, le innovative soluzioni software dei laboratori Kaspersky per un’efficace protezione dei PC dalla Digital Pollution e dal Cybercrime
RispondiElimina