Corectat cu un patch în anul 2010, exploit-ul care a permis propagarea virusului Stuxnet încă este activ

Folosit pentru sabotarea programului nuclear iranian şi infiltrarea mai multor ţinte de importanţă strategică din Rusia, Arabia Saudită şi alte regiuni ale lumii, un exploit corectat oficial în anul 2010 prin intermediul unui patch lansat de Microsoft ar fi rămas în realitate descoperit. Potrivit analizei unor experţi în securitate, remediul oferit nu a corectat decât parţial problema, PC-urile din lumea întreagă rămânând vulnerabile la noi atacuri în tot acest timp.

Pe scurt, vulnerabilitatea existentă în librăria Shell32.dll adresează funcţii care ţin de procesarea fişierelor cu extensie .LNK –  aşa numitele fişiere-scurtătură folosite sub sistemul de operare Windows pentru a reprezenta aplicaţii, directoare şi fişiere aflate în alte locaţii de pe hard disk. În cazul de faţă, librăria Shell32.dll este folosită la conectarea stick-urilor USB pentru afişarea de icon-uri, infectarea fiind posibilă prin simpla includere a unui fişier .LNK compromis pe dispozitivul de stocare extern. În cazul PC-urilor vulnerabile infectarea se produce automat, imediat după conectarea dispozitivului USB, chiar şi dacă funcţia autorun a fost dezactivată. Posibilitatea de auto-propagare prin intermediul oricărui dispozitiv USB conectat la PC-urile compromise elimină practic nevoia unei conexiuni la reţea şi barierele de securitate instituite, facilitând inclusiv infectarea sistemelor de calcul aflate în medii protejate de accesul exterior.

Fără a adminte oficial eşecul primului remediu, Microsoft a lansat în data de 6 martie 2015 patch-ul MS-15-020, corectând vulnerabilitatea ce a fost exploatată în mod repetat de atacatori începând cu anul 2008, infectând pe ascuns chiar şi PC-uri fără conexiune la internet.

În afara creatorilor Stuxnet, cel puţin încă un grup de atacatori asociat agenţiei americane de spionaj NSA – Equation Group – este bănuit că ar fi exploatat aşa numita vulnerabilitate .LNK pentru desfăşurarea de atacuri sponsorizate de stat. Deşi foarte sofisticate, exploit-urile dezvoltate de aceştia nu au mai funcţionat pe PC-urile remediate cu primul patch, MS10-046, lansat în anul 2010, însă este posibil ca versiuni revizuite ale acestora să fi ocolit remediul oferit de Microsoft. Potrivit lui Brian Gorenc, liderul iniţiativei HP Zero Day care a raportat existenţa exploit-ului către Microsoft, ar fi greu de crezut că nimeni nu a ştiut de existenţa acestei vulnerabilităţi până acum.

De altfel, potrivit raportului de securitate „Cyber Risk Report” întocmit de HP pentru anul 2015, exploit-ul CVE-2010-2568 scos la lumină încă din anul 2010 a rămas şi în anul 2014 pe locul 1 în top-ul vulnerabilităţilor exploatate pe platforma Windows PC, viind responsabil pentru aproximativ un sfert dintre atacurile informatice observate. Potrivit aceluiaşi Brian Gorenc, nu ar fi greu pentru un grup de hackeri experimentaţi să decompileze patch-ul de securitate lansat în anul 2010, investigând noi modalităţi pentru ocolirea sistemelor de verificare implementate de Microsoft. 

Într-o primă declaraţie oficială, reprezentanţii Microsoft informează că exploit-ul adresat de patch-ul MS-15-020 lansat săptămâna trecută este de fapt o vulnerabilitate nouă, diferită de cea folosită pentru propagare de virusul Stuxnet şi corectată în anul 2010.