Kaspersky Lab e Microsoft colaboram na correcção de nova vulnerabilidade de “dia zero” explorada pelo worm Stuxnet

17 set 2010
Notícias de Vírus

A vulnerabilidade, classificada como de “dia zero” quando foi detectada, foi explorada pelo famoso worm Stuxnet. Este worm é importante, já que se trata de uma ferramenta de espionagem industrial: foi concebido para obter acesso ao sistema operativo Siemens WinCC, recolher dados e monitorizá-los.

Desde o seu aparecimento no passado mês de Julho, que os especialistas têm vindo a estudá-lo de perto. Os técnicos da Kaspersky Lab foram mais além na investigação às funcionalidades do Stuxnet e descobriram que, além da vulnerabilidade que foi detectada inicialmente (ao processar ficheiros LNK e PIF), também explora outras quatro vulnerabilidades da Microsoft.

Um exemplo é a MS08-067, vulnerabilidade que também foi explorada pelo tristemente célebre worm Kido (Conficker) no início de 2009. As restantes três vulnerabilidades eram até agora desconhecidas e estão presentes nas actuais versões do Windows.

Em conjunto com a MS08-067, o Stuxnet también aproveita outra vulnerabilidade para se propagar, localizada no serviço Windows Print Spooler, que pode ser utilizada para enviar código malicioso para um computador remoto quando se executa o programa. Devido às características desta vulnerabilidade, a infecção pode alargar-se a computadores que usam uma impressora ou através do acesso partilhado a um destes equipamentos. Assim que infecta um computador ligado a uma rede, o Stuxnet tenta expandir-se para outros computadores.

Assim que os peritos da Kaspersky Lab detectaram esta vulnerabilidade, informaram de imediato a Microsoft, que a analisou e cujas conclusões coincidiram com as da Kaspersky Lab. A vulnerabilidade foi baptizada como “Print Spooler Service Impersonation” e foi classificada como “crítica”. A Microsoft de imediato deu início à correcção do problema, tendo emitido o patch MS10-061 no passado dia 14 de Setembro.

A Kaspersky Lab detectou, ainda, outra vulnerabilidade de dia zero no código do Stuxnet. Foi classificada como “Elevation of Privilege” (EoP) e o worm podia utilizá-la para ganhar controlo total sobre o computador infectado. Outra vulnerabilidade similar foi ainda detectada pelos peritos da Microsoft. Ambas serão corrigidas em futuras actualizações de segurança para os sistemas operativos Windows.

Alexander Gostev, Chief Security Expert da Kaspersky Lab, teve um papel activo na identificação da nova ameaça e trabalhou de perto com a Microsoft para resolver o problema. Alexander publicou, inclusive, um blogpost informativo sobre o tema. (http://www.securelist.com/en/blog/2291/Myrtus_and_Guava_Episode_MS10_061). Os dados compilados na análise ao Stuxnet, incluindo os detalhes de como se poderiam explorar estas vulnerabilidades, serão apresentados na conferência Virus Bulletin no Canadá neste mês de Setembro.

“O Stuxnet foi o primeiro programa de malware capaz de explorar de forma simultânea até quatro vulnerabilidades”, comentou Alexander Gostev. “Isto torna-o único: é a primeira ameaça que detectámos a conter tantas surpresas num simples pacote. Até termos detectado esta nova vulnerabilidade, devia valer uma fortuna para os hackers. Dado que o Stuxnet também utiliza os certificados digitais Realtek e Jmicron – e recordemos que a sua função era roubar os dados armazenados no Simatic WinCC SCADA – tudo isto o torna numa ameaça sem precedentes. Temos que admitir que os seus criadores demonstraram, infelizmente, grandes qualidades em programação”.

Todos os produtos da Kaspersky Lab detectam e neutralizam o Stuxnet.

Acerca da Kaspersky Lab:

Kaspersky Lab é a maior companhia antivírus da Europa. A Kaspersky Lab proporciona uma das protecções mais imediatas do mundo contra ameaças à segurança informática, incluindo vírus, spyware, crimeware, hackers, phishing e correio spam. A companhia está entre os quatro primeiros fabricantes mundiais de soluções de segurança informática para utilizadores finais. Os produtos e soluções da Kaspersky Lab proporcionam um dos tempos de resposta mais rápidos e níveis de detecção mais elevados da indústria, tanto para utilizadores particulares, pequenas e médias empresas e grandes corporações, como para o ambiente informático móvel. A tecnologia da Kaspersky® também está incluída em produtos e serviços de outros criadores de soluções de segurança líderes da indústria informática. Leia mais na nossa página www.kaspersky.pt.

© 1997 - 2014 Kaspersky Lab ZAO.

Todos os direitos reservados.