Microsoft в третий раз пытается исправить Stuxnet-уязвимость

Олег Иванов 07 Августа 2017 - 06:58

Домашние пользователи

...

Один из патчей, выпущенный Microsoft в рамках обновлений безопасности за июнь 2017 года, является третьей попыткой компании устранить старую уязвимость, которая использовалась еще червем Stuxnet в 2010 году.

Изначально уязвимость имела идентификатор CVE-2010-2568, она позволяет удаленному злоумышленнику выполнять произвольный код в системе, используя специально созданные файлы ярлыков с расширением LNK или PIF.

CVE-2010-2568 была одной из четырех брешей, используемых в атаках Stuxnet, нацеленных на ядерную программу Ирана. Несмотря на то, что Microsoft исправила ее в августе 2010 года, она остается одной из наиболее используемых уязвимостей.

В 2015 году исследователи обнаружили, что первоначальное решение Microsoft по устранению этой бреши можно обойти, технический гигант следом выпустил еще один патч. Эта проблема уже отслеживалась как CVE-2015-0096 и представляла для Microsoft совершенно новую уязвимость.

Согласно сообщению, опубликованному в четверг Координационным центром CERT, некто обнаружил другой способ обхода патчей Microsoft для этой бреши. Информация о том, кто именно обнаружил новую уязвимость, не предоставляется.

«Исправления для уязвимости CVE-2010-2568 и последующего патча для CVE-2015-0096 оказалось недостаточно, LNK-файлы все еще используют атрибуты SpecialFolderDataBlock и KnownFolderDataBlock для того, чтобы указать местоположение директории. Такие файлы могут обойти белый список, впервые реализованный в патче для CVE-2010-2568» - говорит в сообщении CERT.

«Убедив пользователя отобразить специально созданный файл ярлыка, злоумышленник может выполнить произвольный код с привилегиями пользователя. В зависимости от конфигурации операционной системы и конфигурации AutoRun/AutoPlay это может произойти автоматически, при подключении USB-устройства» - также поясняется в сообщении.

CERT также отметил, что с июньскими обновлениями Microsoft исправила новую уязвимость, отслеживаемую как CVE-2017-8464. На данный момент существуют эксплойты, например, Metasploit, для этой бреши и она была использована в реальных атаках.

Помимо патчей от Micosoft, пользователи могут сами принять меры для предотвращения таких атак. Для этого стоит заблокировать исходящие соединения на TCP и UDP-портах 139 и 445.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 14 Мая 2025 - 10:04

Уязвимости программ Общее

Новая уязвимость в Intel CPU позволяет сливать данные из ядра ОС

Исследователи из ETH Zurich нашли новую уязвимость в всех современных процессорах Intel — даже в тех, где уже были включены защиты от Spectre. Проблема получила название Branch Privilege Injection и отслеживается под кодом CVE-2024-45332. Да, опять атака через спекулятивное выполнение.

Когда процессор «угадывает», куда прыгнет ветка кода (это делает так называемый branch predictor), он может ошибиться.

Обычно это не страшно — ошибку откатывают. Но если предсказание окажется «успешным», оно выполняется так быстро, что может вмешаться в переход между пользовательским режимом и ядром. Получается, обновление предсказаний ветвлений пересекает границы привилегий.

Это означает, что обычное приложение может подсунуть процессору «приманку», а затем запустить системный вызов — и в этот короткий момент CPU будет выполнять инструкции с уровня ядра, но по сценарию атакующего. Результат — можно слить, например, содержимое /etc/shadow, где хранятся хеши паролей.

Насколько это серьёзно?

Очень. Исследователи продемонстрировали утечку данных из ядра на Ubuntu 24.04, причём со всеми стандартными мерами защиты включёнными. Скорость утечки — до 5.6 КБ/с при 99.8% точности.

Затронуты все процессоры Intel начиная с 9-го поколения (Coffee Lake Refresh) и до свежих Raptor Lake. Более старые — не проверялись, но, по словам исследователей, предсказания ветвлений могли прорываться через защиту даже на 7-м поколении (Kaby Lake).

У AMD и Arm такой проблемы нет — у них предсказатели работают синхронно с выполнением инструкций.

Intel уже выпустила микрокодные обновления, устраняющие уязвимость. Производительность падает умеренно:

Микрокод — до 2.7% замедления
Защитный софт — от 1.6% до 8.3%, в зависимости от CPU

Никаких атак в реальной жизни пока не зафиксировано, но Intel советует срочно обновить BIOS/UEFI и операционную систему. А если вы используете уязвимые процессоры в облаке или при работе с критичными данными — отнестись к этому особенно серьёзно.

Где будут детали?

Полное описание атаки ETH Zurich представит на конференции USENIX Security 2025. А Intel, в свою очередь, опубликовала бюллетень и поблагодарила исследователей за сотрудничество.