Kaspersky Lab ha annunciato di aver collaborato con
Microsoft per risolvere con successo una grave vulnerabilità nel sistema
Windows.
La vulnerabilità è stata classificata nel tipo
"zero-day" quando è stata rilevata, ed è stata usata dal famigerato worm Stuxnet.
Il
Worm.Win32.Stuxnet è noto fondamentalmente come uno strumento di spionaggio industriale: è stato infatti progettato per avere accesso al sistema operativo
Siemens WinCC, utilizzato per la raccolta dei dati e per il monitoraggio della produzione.
Gli esperti di Kaspersky Lab hanno svolto numerose ricerche per conoscere le caratteristiche di Stuxnet scoprendo che, oltre alla vulnerabilità nel trattamento di
file LNK e PIF rilevata inizialmente, il worm utilizza anche altre quattro vulnerabilità presenti in Windows.
Un esempio è
l'MS08-067, che è stato usato anche dal famigerato
worm Kido (Conficker) nei primi mesi del 2009. Le altre tre vulnerabilità erano precedentemente sconosciute e sono presenti nella versione attuale di Windows.
Insieme a l'MS08-067, Stuxnet utilizza anche un'altra vulnerabilità per diffondersi. Questa è presente nel servizio di stampa
Windows Print Spooler, e può essere utilizzata per inviare un codice maligno a un computer remoto, dove poi viene eseguito. In virtù delle caratteristiche di questa vulnerabilità , l'infezione può diffondersi nei computer utilizzando una stampante o tramite l'accesso condiviso ad una di queste. Dopo aver infettato un computer connesso ad una rete, Stuxnet tenta quindi di diffondersi sugli altri computer.
Non appena gli esperti di Kaspersky Lab hanno rilevato questa vulnerabilità , l'hanno segnalata a Microsoft, che l'ha analizzata e poi ne ha confermato i risultati. La vulnerabilità è stata classificata come
"Print Spooler Service Impersonation" ed è stata valutata come "critica".
Microsoft ha iniziato a lavorare immediatamente per riparare la vulnerabilità ed ha successivamente rilasciato la patch MS10-061, il 14 settembre 2010.
Gli esperti di Kaspersky Lab hanno poi rilevato un'altra vulnerabilità zero-day nel codice Stuxnet. E' stata classificata come una vulnerabilità
"Elevation of Privilege" (EOP), che potrebbe essere sfruttata dal worm per ottenere il controllo completo sul computer infetto. Una vulnerabilità simile di
tipo EOP è stata rilevata dagli esperti di Microsoft.
Entrambe le vulnerabilità verranno corrette nei prossimi aggiornamenti di sicurezza per sistemi operativi Windows.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
