image

Microsoft waarschuwt voor extreem ernstig Windows-lek

zondag 18 juli 2010, 16:07 door Redactie, 20 reacties

Microsoft waarschuwt voor een extreem ernstig beveiligingslek in alle moderne versies van Windows, waardoor alleen het openen van een map, cd-rom of USB-stick voldoende is om besmet met malware te raken. De kwetsbaarheid wordt al ruim een maand ingezet voor het overnemen van systemen. Op 17 juni ontving het Wit-Russische anti-virusbedrijf VirusBlokAda een malware-exemplaar dat zich verspreidde via een lek in de manier waarop Windows snelkoppelingen verwerkt. Ook systemen waar Autorun of Autoplay is uitgeschakeld, zijn kwetsbaar.

Het openen van een map of schijf met een kwaadaardige snelkoppeling, bijvoorbeeld via de Windows Verkenner, is voldoende om besmet te raken. Om precies te zijn bevindt de kwetsbaarheid zich in de Windows Shell. Hoewel het lek op verschillende manieren is te misbruiken, wordt het volgens Microsoft voornamelijk via USB-sticks ingezet. In eerste instantie zou de malware voor een gerichte aanval op een SCADA-omgeving zijn gebruikt, maar inmiddels zijn meer dan 16.000 systemen besmet geraakt.

Stuxnet
De malware die het lek misbruikt wordt Stuxnet genoemd. Volgens Microsoft gaat het om een worm en niet om een Trojaans paard zoals eerder werd gezegd. "Wat zo uniek aan Stuxnet is, is dat het een nieuwe verspreidingsmethode gebruikt. Het gebruikt speciaal geprepareerde snelkoppelingen op USB-sticks om automatisch malware uit te voeren zodra het .link bestand door het besturingssysteem wordt gelezen. In andere woorden, alleen het openen van een USB-stick met een applicatie die icoontjes van snelkoppelingen weergeeft, zoals Windows Explorer, zorgt ervoor dat de malware zonder enige verdere interactie van de gebruiker wordt uitgevoerd", aldus Tareq Saade van het Microsoft Malware Protection Center.

Microsoft verwacht dat andere virusschrijvers ook deze techniek zullen toepassen. "Stuxnet infecteert elke USB-stick die in het systeem wordt gestopt en daarom hebben we het als een worm geclassificeerd", merkt Saade op. Hij maakt duidelijk dat het zero-day lek in Windows op zichzelf geen worm kan verspreiden.

Certificaten
Stuxnet gebruikt twee driverbestanden, die door Realtek zijn gesigneerd. Hoe dit kon gebeuren is nog altijd niet bekend, maar sommige experts vermoeden dat dit het werk van insiders of hackers is. Ook Saade vindt het gebruik van het certificaat opmerkelijk. "Het duidt erop dat de virusschrijvers toegang tot de privé-sleutel van Realtek hadden."

Microsoft heeft in samenwerking met Verisign en toestemming van Realtek inmiddels het certificaat ingetrokken. Wat betreft het aantal infecties zijn volgens de softwaregigant voornamelijk de Verenigde Staten, Iran, Indonesië en India het hardst getroffen. Saade maakt duidelijk dat Stuxnet al een maand actief is, maar mogelijk nog veel langer.

Oplossing
In afwachting van een patch heeft Microsoft twee tijdelijke oplossingen. De eerste is het aanpassen van een registersleutel, zodat snelkoppelingen geen icoontje meer hebben. De tweede is het uitschakelen van de WebClient service. "Helaas hebben beide opties een behoorlijke impact op sommige Windows gebruikers, aangezien de eerste het aanpassen van het Register betreft en de tweede gevolgen voor SharePoint-gebruikers heeft", zegt David Harley van het Slowaakse anti-virusbedrijf ESET.

Gebruikers van Security Essentials, Forefront, Windows Live OneCare en het Windows Live Safety Platform zijn beschermd tegen de Stuxnet malware, aangezien er signatures aan deze scanners zijn toegevoegd.

Update 17:00
Ivanlef0u heeft een proof-of-concept van de exploit die bij de gerichte aanvallen is gebruikt, online gezet.

Reacties (20)
18-07-2010, 17:30 door Anoniem
PoC werkt niet op winXP SP2/SP3 en natuurlijk heb ik de ext. gewijzigd naar .lnk ;)

heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
18-07-2010, 18:25 door [Account Verwijderd]
[Verwijderd]
18-07-2010, 18:26 door [Account Verwijderd]
[Verwijderd]
18-07-2010, 18:30 door [Account Verwijderd]
[Verwijderd]
18-07-2010, 19:33 door Anoniem
Door Peter V: Ook Kaspersky detecteert het beestje al.

http://www.securelist.com/en/descriptions?words=Stuxnet&behavior=&Search=Search&search_type=1

Ik raad iedereen aan om te controleren of de eigen virusscanner dit computervirus al herkent. In de tussentijd moet de nodige voorzichtigheid worden toegepast.

Peter, het updaten van de virusscanner is goed, maar het geeft geen enkele garantie dat dezelfde exploit gedetecteerd wordt in andere malware. Anti-virus is meestal reactief, en het is te verwachten dat dat hier ook het geval zal zijn.

Verder, dit is een ouderwetse slow spreader omdat het via gegevensdragers gaat en niet via Internet. De kans op besmetting is klein en verspreiding kost veel meer tijd dan een Internet worm.
18-07-2010, 20:19 door Erik Loman
Door Anoniem: PoC werkt niet op winXP SP2/SP3 en natuurlijk heb ik de ext. gewijzigd naar .lnk ;)

heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
Wat verwacht je dan? Hier de uitleg: http://www.ivanlef0u.tuxfamily.org/
18-07-2010, 21:26 door Anoniem
http://nibbles.pastebin.com/Mxqm1acG

hier de decompile van die DLL.
18-07-2010, 23:49 door cyberpunk
WebClient staat hier al van in het begin uitgeschakeld. Dat gebeurde op basis van de instellingen van Black Viper.

http://www.blackviper.com/WinXP/servicecfg.htm

Nog nooit gemist eigenlijk...
19-07-2010, 00:38 door Jehjoa
Ik heb niet alle links in de post gevolgd, maar aangezien de malware gebruik maakt van 32-bit drivers, is het veilig om aan te nemen dat 64-bit systemen niet kwetsbaar zijn? Of zouden de schrijvers net zo makkelijk een 64-bit versie kunnen compileren?

Ik lees net in Microsoft's advisory dat 64-bit systemen wel kwetsbaar zijn. Dan is het dus de vraag of er een 64-bit versie van deze code de ronde doet... Ik heb voor alle zekerheid de WebClient service maar gedisabled.
19-07-2010, 00:46 door Anoniem
Wel belachelijk dat als er een exploit in de .lnk zit, dat de gebruiker dan gelijk admin rechten krijgt.
19-07-2010, 09:11 door Anoniem
"Gebruikers van Security Essentials, Forefront, Windows Live OneCare en het Windows Live Safety Platform zijn beschermd tegen de Stuxnet malware, aangezien er signatures aan deze scanners zijn toegevoegd."

Dit soort claims kun je niet maken. Een nieuwe variant en er is geen detectie meer.
19-07-2010, 09:41 door Anoniem
Wel weer heerlijk 'ouderwetsch' en old-skool: een worm verspreiden gewoon met een USB stick in de hand in plaats van via besmette websites of open poorten. Dat zal de reden zijn dat het aantal besmette pc's ook in de duizenden loopt in plaats van in de miljoenen...

Overigens, via welk mechanisme kan VirusBlokAda de verspreiding eigenlijk meten?
19-07-2010, 10:44 door Anoniem
"De eerste is het aanpassen van een registersleutel, zodat snelkoppelingen geen icoontje meer hebben."
Dat ze deze workaround überhaupt opperen, bijna alle iconen op mijn desktop zijn snelkoppelingen.
19-07-2010, 13:19 door Silver
Door Anoniem: Wel weer heerlijk 'ouderwetsch' en old-skool: een worm verspreiden gewoon met een USB stick in de hand in plaats van via besmette websites of open poorten. Dat zal de reden zijn dat het aantal besmette pc's ook in de duizenden loopt in plaats van in de miljoenen...

Overigens, via welk mechanisme kan VirusBlokAda de verspreiding eigenlijk meten?


Klopt, het is inderdaad behoorlijk old school. De makers van deze worm hebben expliciet hiervoor gekozen omdat veel SCADA systemen niet aangesloten zijn op internet (air-gapped). Ze hebben (correct, zoals nu blijkt) ingeschat dat USB-poort security slecht gehandhaafd wordt en een aanval daarom succesvol zijn. Dat de worm nu in het openbaar waargenomen wordt is collateral damage, het doel van de aanval waren Siemens WinCC systemen. Veel (zoals ik t begrijp Amerikaanse) SCADA systemen draaien hierop.
19-07-2010, 14:11 door Anoniem
Door Anoniem: PoC werkt niet op winXP SP2/SP3 en natuurlijk heb ik de ext. gewijzigd naar .lnk ;)

heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..

Werkt hier prima op een XP SP3. Gewoon in de root van je HDD stoppen, no problemo.
19-07-2010, 14:15 door eMilt
Door Anoniem: Wel belachelijk dat als er een exploit in de .lnk zit, dat de gebruiker dan gelijk admin rechten krijgt.
Dat krijgen ze niet. Quote uit de advisory van Microsoft:

An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

De exploit krijgt dus dezelfde rechten als de gebruiker. Als je dus niet onder admin rechten inlogt zal de exploit waarschijnlijk ook niet werken omdat je dan geen drivers kan installeren.
19-07-2010, 14:27 door [Account Verwijderd]
[Verwijderd]
19-07-2010, 14:44 door Anoniem
"Dit soort claims kun je niet maken. Een nieuwe variant en er is geen detectie meer."

De claim gaat over de huidige versie, en niet over toekomstige versies, dus wat dat betreft is je reactie onterecht.
19-07-2010, 15:27 door Anoniem
Door Anoniem: "Dit soort claims kun je niet maken. Een nieuwe variant en er is geen detectie meer."

De claim gaat over de huidige versie, en niet over toekomstige versies, dus wat dat betreft is je reactie onterecht.

Nee, je leest niet goed.
21-07-2010, 11:26 door Anoniem
Door Erik Loman:
Door Anoniem: PoC werkt niet op winXP SP2/SP3 en natuurlijk heb ik de ext. gewijzigd naar .lnk ;)

heb het ook in de root gegooit van harddisk, usb stick systeem herstart maar niets..
Wat verwacht je dan? Hier de uitleg: http://www.ivanlef0u.tuxfamily.org/

Een uitleg waar hij weer naar linkt (http://www.kb.cert.org/vuls/id/940193) vertelt me iets wat ik nog nergens anders was tegengekomen: hoe het eigenlijk zit dat er code wordt uitgevoerd voor het tonen van een icoontje:
Microsoft Windows fails to safely obtain icons for LNK files. When Windows displays Control Panel items, it will initialize each object for the purpose of providing dynamic icon functionality. This means that a Control Panel applet will execute code when the icon is displayed in Windows. Through use of an LNK file, an attacker can specify a malicious DLL that is to be processed within the context of the Windows Control Panel, which will result in arbitrary code execution. The specified code may reside on a USB drive, local or remote filesystem, a CD-ROM, or other locations.
Het doel is dus om icoontjes dynamisch te maken in het control panel, en er is programmacode nodig om dat mogelijk te maken, en om niet met UAC om je oren geslagen te worden wordt die meteen met vergaande rechten op het systeem uitgevoerd. Een gapend gat.

Dit past in een patroon dat ik heel regelmatig terug zie keren. Vanuit de wens om de "user experience" rijk en dynamisch te maken (dynamische icoontjes, maar ook Word macro's en de recente PDF-problemen) wordt iets waarvan je het als gebruiker niet verwacht voorzien van de mogelijkheid om van alles op je systeem te gaan doen. Je verwacht dat een icoontje een passief plaatje is. Nee dus. Je verwacht dat een PDF domweg een document in printopmaak bevat. Helaas, het is potentieel een complete applicatie, en dat kan je aan de buitenkant als gewone sterveling niet zien. Dat is een vorm van onduidelijkheid die het bijzonder moeilijk maakt om te weten wat je nog veilig kan doen en wat niet. Die wens om alles maar rijk en dynamisch te maken mag daarom van mij best wat getemperd worden. Niet dat er geen lekken kunnen zitten in code die alleen maar iets statisch moet tonen, maar de deur staat toch aanzienlijk wijder open als de mogelijkheid om code uit te voeren expliciet is ingebouwd. Ik heb liever een systeem waarop code pas wordt uitgevoerd als ik daar expliciet voor gekozen heb, en niet via allerlei achterdeurtjes. Ik open graag plaatjes waarvan ik zeker weet dat het niet meer dan plaatjes kunnen zijn, open graag documenten waarvan ik zeker weet dat het niet meer dan documenten kunnen zijn. Die toegevoegde "experience" is me de risico's niet waard. Al die extra's mogen beschikbaar zijn als ik er expliciet voor kies ze te starten, net zoals ik elke traditionele applicatie op mijn systeem ook expliciet weet te starten. Da's niet alleen goed genoeg, het is veel duidelijker, en daarmee veiliger.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.