Mareritt-virus utnytter nytt hull

Mareritt-virus utnytter nytt hull

En stygg feil i samtlige Windows-versjoner rammer fabrikksystemer.

Microsoft advarer nå mot skurker som er i gang med å utnytte en kritisk, ulappet sårbarhet i Windows som spres via infiserte minnepinner.

Alle Windows-versjoner gitt ut de siste ti årene er berørt, og det er ekstra leit for folk som fremdeles sitter på Windows Xp med Service Pack 2 (SP2).

I en sikkerhetsbulleteng bekrefter Microsoft det enkelte sikkerhetsforskere har sagt siden 17. juni; at hackere utnytter Windows’ snarveisfiler, filene som typisk lar deg starte programmer via startmenyen og skrivebordet via lenker til faktiske filer eller programmer, skriver Computerworlds nyhetstjeneste.

Ifølge bloggen til Microsofts Thrustworthy Computing-gruppe har man sett sårbarheten bli utnyttet i forbindelse med den ondsinnede programvaren som kalles Stuxnet. Stuxnet er en familie ondsinnede programmer som inkluderer en trojaner som laster ned mer angrepskode, deriblant rootkit som gjemmer angrepsbevis.

Gruppens direktør Dave Forstrom hevder de har sett et begrenset antall angrep. Men ifølge Microsoft-gruppen som er ansvarlige for å skape antivirussignaturer har man avdekket 6000 forsøk på å infisere Windows-systemer siden 15. juli.

Fabrikksystemer

Via sin Simatic Wincc-styringsprogramvare advarte Siemens fredag forrige uke om en type angrep mot Windows-sårbarheten som retter seg mot industrikontrollsystemer som blant annet brukes i større fabrikker. Dette er en ting sikkerhetseksperter har bekymret seg for i årevis, ondsinnet programvare som er laget for å infiltrere systemer som brukes til å styre fabrikker og annen kritisk infrastruktur.

Systemer som kjører Siemens’ Scada-programvare (supervisory control and data acquisition) er ikke vanligvis koblet opp mot internett av sikkerhetshensyn, men dette viruset sprer seg via minnepinner. Frank Boldewin i it-tjenesteleverandøren GAD har studert viruset, og kommet frem til at det kopierer seg til usb-enheter det finner – og hvis datamaskinen kjører slike Siemens-system prøver det umiddelbart å logge seg inn med systemets standard-passord.

Om ikke det går, gjør viruset ingenting, ifølge Boldewin. Men han påpeker også at teknikken kan ha høy suksess, ettersom Scada-systemer ofte er dårlig konfigurert med uendret passord.

En av kildene til Computerworlds nyhetstjeneste, som fordi han ikke er autorisert til å uttale seg ønsker å være anonym, tror spionasje er motivet for viruset. Mens Wesley Mcgrew fra Mcgrew Security og forsker ved Mississippi State University tror viruset har helt spesifikke fabrikkmål i baktankene, fordi det ellers ville rettet seg mot mer populære Scada-styringsprogrammer.

En mulighet kan ifølge han være at viruset kan ta over et Scada-system og holde det som gissel til løsepenger blir betalt. Eric Byres i selskapet Byres Security lanserer en annen mulig teori; at skurker kan ha skapt viruset for å lære seg hvordan de kan forfalske produkter i den aktuelle fabrikken.

- Stygg sak

Viruset ble først rapportert 17. juni via et virusvarsel fra sikkerhetsselskapet Virusblokada i Hviterussland. Andre større virusselskaper, som Sophos og Sans Institutes Internet Storm Center plukket opp snerten av viruset på fredag.

Ifølge Microsoft fungerer angrepet ved at Windows ikke klarer å tolke snarveisfilene, filene av filtype ".ink", ordentlig. Via en spesiallaget, ondsinnet .ink-fil kan skurkene kapre en pc med lite interaksjon fra brukeren. Alt som trengs er at brukeren titter på usb-enheten via filhåndteringsprogramvare som Windows Explorer – som jo er måten man gjerne titter på innholdet på minnepinner. Men det kan også smitte på andre måter, for eksempel via delte nettverksressurser.

Chester Wisniewski i Sophos kaller trusselen for ”stygg”. Hans tester viser at hullet kan la seg utnytte selv når autokjør-funksjonen er slått av. Å slå av autokjør-funksjonen har tidligere vært en grei å effektiv måte å stoppe angrep via usb-porten. I tillegg omgår viruset sikkerhetsmekanismer i Windows, slik som User Account Controll (UAC) i Vista og Windows 7, kan han opplyse.

- Det gjør en lei situasjon enda verre, sier han.

På denne nettsiden kan du finne en analyse av viruset.

Microsofts løsninger

Microsoft har ikke gitt noen tidsplan for når hullet skal lappes. Neste faste, månedlige lappetirsdag er ikke før 10. august. Deres hastefiks, enn så lenge, er å oppfordre folk om å slå av snarveisikonene og å slå av Webclient-tjenesten.

Det ene grepet krever at brukeren redigerer Windows-registeret, noe som ikke er like enkelt sagt som gjort for mannen i gata, ettersom registeret kan være ubehagelig for den gjengse bruker å redigere og fordi feilredigering i registeret kan føre til at datamaskinen ikke virker som den skal. Du kan se mer om fremgangsmetoden i Microsofts sikkerhetsbulleteng, under kategorien «Workarounds».

Konsekvensen av den midlertidige hastefiksløsningen er blant annet at det blir mer komplisert å starte programmer, ettersom snarveiene ikke vil ha ikoner.

For de som fremdeles sitter med Windows XP SP2, er dette tipset det eneste bøtemiddelet som kommer til å komme fra Microsofts side. Tjenestepakken ble pensjonert fra all støtte forrige tirsdag, som i prinsippet betyr at det ikke kommer flere sikkerhetsoppdateringer hit. SP3 er dog en relativt smertefri operasjon å oppgradere til.

Støtte til Windows 2000 ble også pensjonert tirsdag forrige uke, så heller ikke her kommer det sikkerhetsfiks.

Wolfgang Kandek fra selskapet Qualys blir spesielt bekymret over at Windows XP SP2 og Windows 2000 ender opp uten lappesaker.

- Vi antar at angrepet fungerer mot begge disse og angriperne vil definitivt utnytte dette sikkerhetshullet, sier han.

Ifølge Microsoft er alle støttede Windows-versjoner sårbare for sikkerhetshullet, slik som Windows XP SP3, Vista, Server 2003, Windows 7, Server 2008 og Server 2008 R2. Og folk med Windows XP SP2 må altså oppdatere til SP3 før de får fikset feilen.