11 sierpnia 2014

Luka wykorzystywana przez robaka Stuxnet ciągle zagraża użytkownikom

Luka CVE-2010-2568 została wykryta w 2010 r. wraz z robakiem Stuxnet, który zaatakował elektrownię w Iranie. Najnowsze badanie Kaspersky Lab poświęcone lukom w systemach Windows ujawniło, że szkodliwe programy wykorzystujące tę podatność działają i stanowią zagrożenie nawet obecnie – w badanym okresie (od listopada 2013 do czerwca 2014) na tego typu niebezpieczne aplikacje natknęło się aż 19 milionów użytkowników na całym świecie.


Luka CVE-2010-2568 to błąd obsługi skrótów w systemie Windows pozwalający atakującemu na załadowanie dowolnej biblioteki DLL bez wiedzy użytkownika. Luka występuje w systemach Windows XP, Vista oraz Windows 7, jak również w odmianach serwerowych – Windows Server 2003 i 2008. Najbardziej znanym szkodliwym programem atakującym z użyciem tej luki był Stuxnet – robak wykryty w czerwcu 2010 r., który doprowadził do fizycznego uszkodzenia urządzeń odpowiedzialnych za wzbogacanie uranu w elektrowniach atomowych w Iranie.

Microsoft opublikował łatę usuwającą tę lukę jesienią 2010 r., a mimo to nawet obecnie systemy wykrywania firmy Kaspersky Lab rejestrują szkodliwą aktywność związaną z tą podatnością. Najwięcej prób infekcji miało miejsce w Wietnamie, Indiach, Indonezji, Brazylii i Algierii.


To samo badanie wskazuje, że Wietnam, Indie i Algieria znajdują się również w czołówce listy krajów, gdzie jest najwięcej użytkowników systemu Windows XP. Co ciekawe, aż 64,19% prób infekcji z wykorzystaniem luki CVE-2010-2568 zarejestrowano właśnie na komputerach z tym przestarzałym systemem operacyjnym. W przypadku Windows 7 – najpopularniejszego obecnie systemu operacyjnego na świecie – odsetek ten wyniósł 27,99%.

Duża liczba wykryć szkodliwej aktywności związanej z luką CVE-2010-2568 wynika z tego, że na całym świecie ciągle działa wiele komputerów, na których nie usunięto tej podatności. Eksperci z Kaspersky Lab uważają, że większość ataków ma związek z niedostateczną jakością konserwacji serwerów, na których nie są regularnie instalowane odpowiednie uaktualnienia lub działają one bez jakiejkolwiek ochrony antywirusowej. Serwery takie mogą od kilku lat być zainfekowane robakiem, który wykorzystuje lukę w zabezpieczeniach i atakuje kolejne komputery.

„Tego rodzaju sytuacja stwarza ciągłe zagrożenie infekcji szkodliwymi programami w organizacjach, gdzie działają niezałatane serwery”, mówi Wiaczesław Zakorzewski, szef grupy odpowiedzialnej za badania związane z lukami w zabezpieczeniach, Kaspersky Lab. „Namawiamy menedżerów ds. IT, by w większym stopniu dbali o uaktualnianie oprogramowania działającego w firmach”.

Jak się chronić

Aby zminimalizować ryzyko ataku szkodliwych programów wykorzystujących luki w zabezpieczeniach (tzw. exploity), należy przede wszystkim regularnie uaktualniać system operacyjny oraz zainstalowane programy. Należy także unikać przetrzymywania nieużywanych aplikacji oraz korzystać ze skutecznego rozwiązania bezpieczeństwa, które jest wyposażone w funkcje pozwalające walczyć z exploitami. Przykładem takiej technologii może być opracowany przez Kaspersky Lab moduł Automatyczne zapobieganie exploitom, który odpiera ataki dzięki wykorzystaniu metod heurystycznych pozwalających na wykrywanie nawet nieznanych zagrożeń. Technologia ta wchodzi w skład produktów Kaspersky Lab dla użytkowników domowych oraz dla biznesu, takich jak Kaspersky Internet Security multi-device, Kaspersky Small Office Security oraz Kaspersky Endpoint Security for Business.

Pełny raport z badania Windows usage and vulnerabilities jest dostępny w języku angielskim na stronie https://securelist.com/files/2014/08/Kaspersky_Lab_KSN_report_windows_usage_eng.pdf.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.