返回新闻列表

卡巴斯基实验室与微软通力协作,共同清除Stuxnet蠕虫所利用的最新零日漏洞

        领先的信息安全解决方案提供商——卡巴斯基实验室宣布其与微软合作,成功解决并修补了微软Windows操作系统的一些严重漏洞。

        该漏洞一被发现,即被归类为“零日漏洞”。众所周知的Stuxnet蠕虫即可以利用此漏洞感染系统。Worm.Win32.Stuxnet蠕虫之所以值得关注,是因为该蠕虫是一款工业间谍工具。它能够获取西门子WinCC操作系统的访问权。而这种系统主要负责数据收集和生产过程监控。

        自2010年7月份首次出现,Worm.Win32.Stuxnet蠕虫就一直颇受IT安全专家的关注。卡巴斯基实验室的专家为了弄清楚Stuxnet蠕虫的功能,进行了非常深入的研究。并且发现,除上述最早发现的漏洞外,该蠕虫还能够利用Windows系统处理LNK(快捷方式)和PIF文件时的其他四种漏洞。例如,其中一种漏洞为MS08-067,2009年臭名卓著的Kido(Conficker)蠕虫也会利用该漏洞。而其他三种漏洞之前并未被发现,并且存在于现有的Windows系统版本中。

        除MS08-067漏洞外,Stuxnet蠕虫还可以利用Windows系统的Windows Print Spooler服务漏洞进行传播。该漏洞允许发送恶意代码到远程计算机并执行。利用该漏洞的这种特性,Stuxnet蠕虫可以利用打印机或打印机共享进行传播。一旦感染网络中的一台计算机,Stuxnet就会试图传播到其他计算机上。

        卡巴斯基实验室的安全专家发现此漏洞后,立即通知了微软。微软经过自己分析,得出了同卡巴斯基实验室相同的结论。这个新发现的漏洞被归类为Windows打印服务冒用漏洞,安全漏洞评级为“严重”。此漏洞被确认后,微软立即着手工作,修复该漏洞,并最终于2010年9月14日发布了MS10-061安全补丁。

        此外,卡巴斯基实验室专家还在Stuxnet蠕虫的代码中发现了另一个零日漏洞。该漏洞属于“权限提升”(EoP)漏洞,允许蠕虫获取受感染计算机的全部控制权。同时,微软的安全专家也发现了一个类似的权限提升漏洞。针对Windows系统的这两种漏洞将于近期被修复。

        卡巴斯基实验室的首席安全专家Alexander Gostev在发现新威胁以及同微软协作解决问题方面,发挥了积极的作用。之后,Alexander发表了一篇博文,详细介绍了该威胁。此外,分析Stuxnet蠕虫所收集到的数据,包括漏洞如何被利用等细节,也会于2010年9月在加拿大召开的病毒公告大会上公布。

        Alexander Gostev说,“Stuxnet是首个能够同时利用四种漏洞进行传播的恶意软件。所以,这款恶意软件非常独特。并且在这一款恶意软件总,我们就发现了很多惊喜。如果这次的漏洞没有被发现,黑客们可以利用Stuxnet蠕虫攻击系统漏洞,获取大量利润。不仅如此,Stuxnet蠕虫还能够利用Realtek和Jmicron的数字证书,并且其目的主要是窃取储存在Simatic WinCC SCADA系统中的数据。所有这些加起来,使得Stuxnet成为一款前所未有的恶意威胁。而且根据我们分析,不得不承认该恶意软件的编写者的编程技巧非常高明。”

        目前,卡巴斯基实验室的所有产品均可以成功检测和查杀Worm.Win32.Stuxnet蠕虫。