23.7.10

Veoma nezgodna ranjivost

Proteklog tjedna je svijet obišla vijest o pojavi nove ranjivosti u svim verzijama Windows operativnog sustava od XP-a na dalje. Ranjivost je vezana za način kojim Windows obrađuje LNK datoteke. LNK datoteke se najčešće vezuju za ikonice prikazane na ekranu - popularno ih nazivamo shortcut - i u sebi sadržavaju link prema stvarnim objektima operativnog sustava do kojih se dolazi klikom na samu ikonicu. Najčešće se koriste za brz pristup programskom kodu. Do danas smo bili uvjereni da moramo kliknuti na ikonicu kako bi došli do nekog objekta ili pokrenuli program. No, ovog se tjedna pokazalo da to nije i jedini način pokretanja programa. Naime, Windowsi na nedovoljno oprezan - netko bi rekao nekontroliran - način obrađuje podatke ugrađene u LNK datoteke, tj. shortcute i pokazalo se da je dovoljno samo otvoriti mapu gdje se nalazi shortcut pa će program biti pokrenut. To će se desiti u slučaju da je podatak o linku formuliran na poseban način koji Windows krivo tumači. Korumpirani LNK file je samo vektor napada, a pravi napad eskalira ako program koji će se pokrenuti bez znanja i odobrenja korisnika ima maliciozni sadržaj.

Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.

O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.

Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.

Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.

Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.

Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.

Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.

Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.

Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.

Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.

Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.

Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.

LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.

Nema komentara: