Kaspersky Lab annuncia di aver collaborato con Microsoft per risolvere con successo una grave vulnerabilità nel sistema Microsoft Windows.
La vulnerabilità è stata classificata nel tipo “zero-day” quando è stata rilevata, ed è stata usata dal famigerato worm Stuxnet. Il Worm.Win32.Stuxnet è noto fondamentalmente come uno strumento di spionaggio industriale: è stato infatti progettato per avere accesso al sistema operativo Siemens WinCC, utilizzato per la raccolta dei dati e per il monitoraggio della produzione.
Fin dalla sua prima comparsa nel luglio del 2010, gli specialisti di sicurezza IT hanno analizzato approfonditamente Worm.Win32.Stuxnet. Gli esperti di Kaspersky Lab hanno svolto numerose ricerche per conoscere le caratteristiche di Stuxnet scoprendo che, oltre alla vulnerabilità nel trattamento di file LNK e PIF rilevata inizialmente, il worm utilizza anche altre quattro vulnerabilità presenti in Windows.
Un esempio è l’MS08-067, che è stato usato anche dal famigerato worm Kido (Conficker) nei primi mesi del 2009. Le altre tre vulnerabilità erano precedentemente sconosciute e sono presenti nella versione attuale di Windows.
Insieme a l’MS08-067, Stuxnet utilizza anche un’altra vulnerabilità per diffondersi. Questa è presente nel servizio di stampa Windows Print Spooler, e può essere utilizzata per inviare un codice maligno a un computer remoto, dove poi viene eseguito.
In virtù delle caratteristiche di questa vulnerabilità, l’infezione può diffondersi nei computer utilizzando una stampante o tramite l’accesso condiviso ad una di queste. Dopo aver infettato un computer connesso ad una rete, Stuxnet tenta quindi di diffondersi sugli altri computer.
Non appena gli esperti di Kaspersky Lab hanno rilevato questa vulnerabilità, l’hanno segnalata a Microsoft. Microsoft l’ha analizzata e ha confermato i risultati di Kaspersky Lab. La vulnerabilità è stata classificata come “Print Spooler Service Impersonation” ed è stata valutata come “critica”. Microsoft ha iniziato a lavorare immediatamente per riparare la vulnerabilità ed ha successivamente rilasciato la patch MS10-061, il 14 settembre 2010.
Gli esperti di Kaspersky Lab hanno poi rilevato un’altra vulnerabilità zero-day nel codice Stuxnet. E’ stata classificata come una vulnerabilità “Elevation of Privilege”’ (EOP), che potrebbe essere sfruttata dal worm per ottenere il controllo completo sul computer infetto. Una vulnerabilità simile di tipo EOP è stata rilevata dagli esperti di Microsoft. Entrambe le vulnerabilità verranno corrette nei prossimi aggiornamenti di sicurezza per sistemi operativi Windows.
Alexander Gostev, Chief Security Expert di Kaspersky Lab, ha avuto un ruolo attivo nell’individuare la nuova minaccia e ha collaborato in stretto contatto con Microsoft per risolvere il problema. Gostev ha poi pubblicato un blogpost informativo sul tema. I dati raccolti durante l’analisi di Stuxnet, compresi i dettagli di come le vulnerabilità possono essere sfruttate, saranno presentati in Canada, in occasione della conferenza “Virus Bulletin” a settembre.
“Stuxnet è stato il primo programma malware a sfruttare contemporaneamente fino a quattro vulnerabilità”, ha dichiarato Alexander Gostev. “Questo rende Stuxnet davvero unico: si tratta infatti della prima minaccia che abbiamo scoperto che contiene così tante sorprese in un unico pacchetto. Prima che la scoprissimo, questa nuova vulnerabilità ha rappresentato una grande risorsa per gli hacker.
Dato che Stuxnet utilizza anche i certificati digitali Realtek e JMicron – e ricordo anche che questo worm è stato progettato per rubare i dati memorizzati in Stic WinCC SCADA – queste caratteristiche lo rendono davvero una minaccia senza precedenti. Va riconosciuto che, in questo caso, i creatori di malware hanno dimostrato grandi capacità di programmazione.”
Tutti i prodotti Kaspersky Lab sono in grado di rilevare e neutralizzare con successo il Worm.Win32.Stuxnet.
