Microsoft waarschuwt voor een extreem ernstig beveiligingslek in alle moderne versies van Windows, waardoor alleen het openen van een map, cd-rom of USB-stick voldoende is om besmet met malware te raken. De kwetsbaarheid wordt al ruim een maand ingezet voor het overnemen van systemen. Op 17 juni ontving het Wit-Russische anti-virusbedrijf VirusBlokAda een malware-exemplaar dat zich verspreidde via een lek in de manier waarop Windows snelkoppelingen verwerkt. Ook systemen waar Autorun of Autoplay is uitgeschakeld, zijn kwetsbaar.
Het openen van een map of schijf met een kwaadaardige snelkoppeling, bijvoorbeeld via de Windows Verkenner, is voldoende om besmet te raken. Om precies te zijn bevindt de kwetsbaarheid zich in de Windows Shell. Hoewel het lek op verschillende manieren is te misbruiken, wordt het volgens Microsoft voornamelijk via USB-sticks ingezet. In eerste instantie zou de malware voor een gerichte aanval op een SCADA-omgeving zijn gebruikt, maar inmiddels zijn meer dan 16.000 systemen besmet geraakt.
Stuxnet
De malware die het lek misbruikt wordt Stuxnet genoemd. Volgens Microsoft gaat het om een worm en niet om een Trojaans paard zoals eerder werd gezegd. "Wat zo uniek aan Stuxnet is, is dat het een nieuwe verspreidingsmethode gebruikt. Het gebruikt speciaal geprepareerde snelkoppelingen op USB-sticks om automatisch malware uit te voeren zodra het .link bestand door het besturingssysteem wordt gelezen. In andere woorden, alleen het openen van een USB-stick met een applicatie die icoontjes van snelkoppelingen weergeeft, zoals Windows Explorer, zorgt ervoor dat de malware zonder enige verdere interactie van de gebruiker wordt uitgevoerd", aldus Tareq Saade van het Microsoft Malware Protection Center.
Microsoft verwacht dat andere virusschrijvers ook deze techniek zullen toepassen. "Stuxnet infecteert elke USB-stick die in het systeem wordt gestopt en daarom hebben we het als een worm geclassificeerd", merkt Saade op. Hij maakt duidelijk dat het zero-day lek in Windows op zichzelf geen worm kan verspreiden.
Certificaten
Stuxnet gebruikt twee driverbestanden, die door Realtek zijn gesigneerd. Hoe dit kon gebeuren is nog altijd niet bekend, maar sommige experts vermoeden dat dit het werk van insiders of hackers is. Ook Saade vindt het gebruik van het certificaat opmerkelijk. "Het duidt erop dat de virusschrijvers toegang tot de privé-sleutel van Realtek hadden."
Microsoft heeft in samenwerking met Verisign en toestemming van Realtek inmiddels het certificaat ingetrokken. Wat betreft het aantal infecties zijn volgens de softwaregigant voornamelijk de Verenigde Staten, Iran, Indonesië en India het hardst getroffen. Saade maakt duidelijk dat Stuxnet al een maand actief is, maar mogelijk nog veel langer.
Oplossing
In afwachting van een patch heeft Microsoft twee tijdelijke oplossingen. De eerste is het aanpassen van een registersleutel, zodat snelkoppelingen geen icoontje meer hebben. De tweede is het uitschakelen van de WebClient service. "Helaas hebben beide opties een behoorlijke impact op sommige Windows gebruikers, aangezien de eerste het aanpassen van het Register betreft en de tweede gevolgen voor SharePoint-gebruikers heeft", zegt David Harley van het Slowaakse anti-virusbedrijf ESET.
Gebruikers van Security Essentials, Forefront, Windows Live OneCare en het Windows Live Safety Platform zijn beschermd tegen de Stuxnet malware, aangezien er signatures aan deze scanners zijn toegevoegd.
Update 17:00
Ivanlef0u heeft een proof-of-concept van de exploit die bij de gerichte aanvallen is gebruikt, online gezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.