ظلت أجهزة الكمبيوتر التي تعمل بنظام Windows عرضة للهجمات المشابهة لـ Stuxnet على الرغم من تصحيح عام 2010

إذا قمت بتصحيح أجهزة الكمبيوتر التي تعمل بنظام Windows في عام 2010 ضد استغلال LNK الذي استخدمته Stuxnet واعتقدت أنك في أمان ، فإن لدى الباحثين من شركة Hewlett-Packard بعض الأخبار السيئة لك: كان إصلاح Microsoft خاطئًا.

في يناير ، وأفاد الباحث مايكل هيركلوتز بشكل خاص بمبادرة يوم الصفر من HP (ZDI) بأنه يمكن تجاوز حزمة LNK التي أصدرتها مايكروسوفت منذ أكثر من أربع سنوات.

وهذا يعني أنه على مدى السنوات الأربع الماضية ، تمكن المهاجمون من إجراء تصحيح عكسي لميكروسوفت لإيجاد حل جديد يستغل LNK التي يمكن أن تصيب أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows عندما يتم توصيل أجهزة تخزين USB بها. ومع ذلك ، لا توجد معلومات حتى الآن تشير إلى حدوث ذلك.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

الهجوم الأصلي ، الذي استغل نقطة ضعف في كيفية عرض Windows رموزًا لملفات الاختصار (LNK) كانت تستخدم لنشر Stuxnet ، وهي دودة كمبيوتر عملت على تخريب أجهزة طرد مركزي لتخصيب اليورانيوم في منشأة إيران النووية في ناتانز.

تم اكتشاف Stuxnet ، التي يعتقد أن الولايات المتحدة وإسرائيل أنشأتها ، في يونيو 2010 بعد أن امتدت إلى ما بعد الهدف المقصود وانتهى اصابة عشرات الآلاف من أجهزة الكمبيوتر في جميع أنحاء العالم. كانت ثغرة LNK ، التي تم تتبعها على أنها CVE-2010-2568 ، واحدة من عدة عيوب ، لم تكن معروفة من قبل ، والتي استغلتها Stuxnet. قامت Microsoft بتصحيح الخلل في أغسطس من العام نفسه كجزء من نشرة الأمن المسمى MS10-046.

"لمنع هذا الهجوم ، وضعت شركة Microsoft تدقيقًا أبيضًا واضحًا مع MS10-046 ، تم إصداره في أوائل أغسطس 2010" ، وقال الباحثون في بلوق آخر الثلاثاء. "بمجرد تطبيق هذا التصحيح ، من الناحية النظرية ، كان من الممكن استخدام ملفات .CPL المعتمدة فقط لتحميل رموز غير قياسية للروابط."

"فشل التصحيح" ، كما قالوا. "وعلى مدى أكثر من أربع سنوات ، كانت جميع أنظمة Windows عرضة للهجوم نفسه الذي استخدمته Stuxnet للنشر الأولي."

أبلغ ZDI عن تجاوز تصحيح LNK الذي وجده Heerklotz إلى Microsoft ، والذي عالجه كضعف جديد ( CVE-2015-0096) وثبته يوم الثلاثاء كجزء من MS15-020. يخطط باحثو ZDI لفحص التحديث الجديد لمعرفة ما إذا كان هناك أي تجاوزات محتملة أخرى.

ومع ذلك ، تطبيق الحل الذي نشرته Microsoft في 2010 ، والذي يتضمن استخدام محرر التسجيل لتعطيل عرض الرموز لملفات الاختصار يدويًا ، وقالوا: في حين تم اكتشاف هجوم LNK لأول مرة كجزء من Stuxnet ، وجد باحثون أمنيون من شركة كاسبرسكي لاب مؤخرا أن دودة كمبيوتر أخرى ، تدعى Fanny ، قد استخدمتها منذ عام 2008. فاني جزء من ترسانة البرمجيات الخبيثة المستخدمة من قبل مجموعة cyberespionage متطورة للغاية والتي أطلق عليها اسم كاسبيرسكي Equation.

كما أظهر تقرير كاسبرسكي لاب في أغسطس 2014 ، فإن استغلال الثغرة الأصلية CVE-2010-2568 ظل منتشرًا حتى بعد تصحيح Microsoft في 2010 ، في المقام الأول لأنه تم دمج استغلال في التهديدات الأكثر شيوعا مثل دودة Sality. من يوليو 2010 إلى مايو 2014 ، كشفت كاسبرسكي لاب عن أكثر من 50 مليون حالة من استغلال CVE-2010-2568 على أكثر من 19 مليون جهاز كمبيوتر في جميع أنحاء العالم.