Stuxnet er et stykke signeret malware, der udnytter 0-dags sårbarhed i de fleste Windows versioner.

Der bliver talt en del om ormen Stuxnet i disse dage.

Det viser sig, at der er en sårbarhed i måden, som Microsoft Windows håndterer genveje (.lnk-filer) på. Det er en alvorlig sårbarhed, som i skrivende stund ikke er patchet af Microsoft. De har indtil videre et fix, som dog ikke virker specielt genialt - det slår funktionaliteten fra.

Stuxnet udnytter sårbarheden i et kirurgisk angreb. Efter at have udnyttet sårbarheden i Windows angriber den direkte Siemens WinCC SCADA, som er et stykke industrisoftware. Dette stykke software har et hard-coded kodeord, som ormen kan bruge til at opnå adgang. Derefter er den klar til at overføre information fra systemet.

Ikke nok med det: Stuxnet er også digitalt signeret. Dette er gjort ved hjælp af stjålne nøgler, som nu er trukket tilbage. Men den måde som digital signering fungerer på gør, at allerede signerede drivere bliver valideret - men det er ikke muligt at signere nye drivere med nøglerne.

Stuxnet spredes via USB nøgler og udgør ikke den store risiko for "os private" - det virker mere som et tilrettelagt angreb mod et bestemt mål / en bestemt virksomhed. Men det er helt klart en forvarsel om, hvad vi kan vente os af malware de kommende måneder.


Yderligere information:
Stuxnet May Be the New New Thing in Malware @ Threatpost
SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan @ Siemens
Deadly combo: zero day application vulnerability + OS vulnerability = attacker win @ Veracode
The Stuxnet Sting @ Microsoft Malware Protection Center