Internet

Zero-day ranjiva tačka koju eksploatiše Stuxnet i dalje pretnja za korisnike

Kompanija Kaspersky Lab predstavila je svoje istraživanje „Upotreba operativnog sistema Windows i njegove ranjive tačke“, koje je sprovela u leto 2014. Prema ovom istraživanju, ranjivost CVE-2010-2568 otkrivena je 2010. godine, u isto vreme kada i ozloglašeni Stuxnet crv. Malverski program koji eksploatiše ovu ranjivost još uvek je rasprostranjen i predstavlja pretnju korisnicima: 19.000.000 korisnika naišlo je na njega u vremenskom periodu od osam meseci, od novembra 2013. do juna 2014. godine.

CVE-2010-2568 je prečica koja upravlja greškom u Windows-u, omogućujući napadačima da pokrenu proizvoljan DLL fajl bez korisnikovog znanja. Ova ranjiva tačka utiče na operativne sisteme Windows XP, Vista i Windows 7, kao i na Windows Server 2003 i 2008. Najpoznatiju eksploataciju ove ranjivosti   izvršio je Stuxnet – crv otkriven u junu 2010. godine, ozloglašen zbog toga što je navodno doveo do fizičkog uništenja uranijumske opreme u nuklearnim postrojenjima u Iranu.

Već u jesen 2010. godine, Microsoft je objavio sigurnosno ažuriranje koje je popravilo ovu ranjivu tačku. Uprkos tome, sistemi za detekciju kompanije Kaspersky Lab još uvek registruju milione slučajeva u kojima je primećeno kako malver eksploatiše ovu ranjivu tačku. Gledano od države do države, slučajevi malvera koji ciljaju na ovu ranjivu tačku u periodu od novembra 2013. do juna 2014. godine najčešće su primećeni na kompjuterima korisnika iz Vijetnama (42,45%), Indonezije (9,43%), Brazila (5,52%) i Alžira (3,74%).

Geografska distribucija svih registrovanih CVE-2010-2568  detekcija

Isto istraživanje ukazuje na to da su Vijetnam, Indija i Alžir u isto vreme na listi zemalja sa najvećim brojem detekcija CVE-2010-2568 ranjivosti, i na listi vodećih zemalja po broju korisnika koji još uvek koriste Windows XP. Upravo taj operativni sistem na prvom je mestu što se tiče detekcije CVE-2010-2568 ranjivosti: 64,19% detekcija prijavljene su sa kompjutere koji rade na Windows-u XP. Windows 7, trenutno najviše korišćen u svetu, na drugom je mestu sa 27,99% detekcija. Potom slede Windows Server 2008 i 2003 sa po 3,99%, odnosno 1,58%.

Eksperti iz kompanije Kaspersky Lab posebno bi želeli da naglase da u ovom specifičnom slučaju, veliki broj detekcija ne znači nužno veliki broj napada. Zbog neobičnog načina na koji je ova ranjivost eksploatisana, nemoguće je precizno razlikovati slučajeve kada su proizvodi kompanije Kaspersky Lab zaštitili od stvarnih napada koji su uključivali malver koji eksploatiše CVE-2010-2568 od slučajeva kada su samo otkrili ranjive prečice koje su automatski generisane od strane specifičnog crva.

Veliki broj detekcija CVE-2010-2568 svedoči da u svetu još uvek postoji veliki broj kompjutera podložnih napadima malvera koji eksploatiše ovu ranjivost. Eksperti iz kompanije Kaspersky Lab pretpostavljaju da je većina ovih detekcija poreklom iz loše održavanih servera koji se ne ažuriraju redovno ili nemaju sigurnosno rešenje; moguće je da u takvim serverima postoji crv koji koristi malver za eksploatisanje ove ranjive tačke.

„Jasno je da ovakva situacija stvara stalan rizik od malverskih infekcija u organizacijama gde takvi ranjivi serveri i dalje funkcionišu“, kaže Vjačeslav Zakorževski (Vyacheslav Zakorzhevsky), glavni u timu za istraživanje ranjivosti u kompaniji Kaspersky Lab. „Zbog toga, apelujemo na korporacijske IT menadžere da posvete više pažnje ažuriranosti softvera na korporacijskim kompjuterima i da upotrebe adekvatan alat za zaštitu od sajber-pretnji.“

Da bi se rizik od napada koji uključuju ranjivosti sveo na minimum, eksperti kompanije Kaspersky Lab preporučuju korisnicima da redovno ažuriraju svoj softver, da brišu nekorišćeni softver i da upotrebe pouzdano sigurnosno rešenje koje je opremljeno tehnologijom za neutralisanje napada eksploatisanja.

Na primer, Automatic Exploit Prevention kompanije Kaspersky Lab u mogućnosti je da se bori sa pokušajima eksploatisanja trenutno nepoznatih softverskih slabih tačaka zahvaljujući heurističkoj detekciji, a njena efikasnost potvrđena je od strane nezavisnih istraživača. Ova tehnologija je sastavni deo proizvoda za privatnu i poslovnu upotrebu kompanije Kaspersky Lab kao što su Kaspersky Internet Security Multi-Device, Kaspersky Small Office Security i Kaspersky Endpoint Security for Business.

Leave a Reply