卡巴斯基實驗室與微軟聯手修補 Stuxnet 蠕蟲攻擊的零時差保安漏洞
卡巴斯基實驗室宣佈日前與微軟(Microsoft)聯手,成功修復視窗系統(Windows)中一個嚴重保安漏洞。
該漏洞在發現時被分類為「零時差」(zero-day)類型,並為惡名昭張的Stuxnet蠕蟲用作攻擊的主要漏洞。Worm.Win32.Stuxnet最為人關注的一點,是它「工業性間諜工具」的性質:此蠕蟲專為入侵西門子用於收集資料及監管生產的WinCC作業系統而設計。
Worm.Win32.Stuxnet在2010年7月被發現後,電腦保安專家均對它密切監察,卡巴斯基實驗室的專家深入研究後,發現除了已知的漏洞外,Stuxnet蠕蟲在運行LNK及PIF檔案時,會利用其他4個視窗系統上的嚴重漏洞。其中一個是在2009年時被有名的Kido(Conficker)蠕蟲利用的MS08-067,其他三個則是當時未被發現的視窗系統漏洞。
除了MS08-067漏洞外,Stuxnet蠕蟲利用另一於視窗列印多工緩衝處理器服務(Window Print Spooler)的漏洞,將惡意代碼傳送至遠端電腦並執行。透過這一漏洞,Stuxnet只需要感染一部連上網絡的電腦,便可利用印表機或其他共享裝置進一步再感染內聯網上的全部電腦。
卡巴斯基實驗室的專家發現此一漏洞後立即通知了微軟,微軟的技術專員分析過後同意卡巴斯基實驗室的發現,並將其評定為嚴重(Critical)的「列印多工緩衝處理器服務模擬漏洞」(Print Spooler Service Impersonation Vulnerability)。微軟立刻著手處理,並於2010年9月14日發佈MS10-061安全更新。
卡巴斯基實驗室的專家在Stuxnet的代碼中發現了另一被定義為「特權提升」(Elevation of Privilege)漏洞,惡意程式可利用此漏洞得到受感染電腦的控制權,微軟的專家亦發現了另一個相類的漏洞,這兩個漏洞將會在未來安全更新中被修補。
卡巴斯基實驗室首席病毒分析師Alexander Gostev帶領團隊與微軟緊密合作,解決是次的保安漏洞,Alexander亦在自己Blog上發佈了相關內容。關於Stuxnet的詳細研究資料及其傳播方式,將會於2010年9月在加拿大舉行的Virus Bulletin會議上發表。
「Stuxnet是首個可同時攻擊5個漏洞的惡意程式」Alexander Gostev表示,「這使Stuxnet非常獨特,這也是我們初次在單一威脅中發現這麼多驚喜。在我們發現這些新漏洞之前,他們對於駭客來說相當值錢。Stuxnet亦使用了來自Realtek及Jmicron的數位證書,而且不要忘記它是設計用於竊取西門子Simatic WinCC SCADA系統中所儲存的資料,這些都指出了Stuxnet是史無前例的惡意程式,也證明了此惡意程式的寫手擁有相當出色的技能。」
