Informatyka

Nowy atak na Windows przez USB

Gdy połączone siły Ameryki i Izraela atakowały irańskie instalacje nuklearne, podstawową metodą infekcji wybranych komputerów był błąd typu 0day w obsłudze plików .LNK na dysku USB. Błąd został już dawno załatany, ale właśnie pojawił się nowy.

Jak zainstalować swój kod na komputerze, do którego nie ma dostępu sieciowego? Z pomocą przychodzą eksploity na USB – wystarczy sprowokować ofiarę do podłączenia napędu lub dostać się wystarczająco blisko komputera, by na chwilę podłączyć swój dysk. Microsoft informuje, że właśnie załatał kolejny błąd pozwalający na instalację oprogramowania bezpośrednio po podłączeniu dysku USB. Co więcej, błąd ten jest wykorzystywany w praktyce.

Jak w Stuxnecie

Stuxnet, do tej pory uważany za jedno z najniebezpieczniejszych kiedykolwiek stworzonych narzędzi cyberdestrukcji, wykorzystywał do swego działania aż 5 błędów typu 0day. Jednym z nich był problem w przetwarzaniu ikon w plikach .LNK, pozwalający na wykonanie dowolnego kodu poprzez samo podłączenie odpowiednio spreparowanego dysku USB. Błąd ten jest już dawno załatany, jednak dzisiaj Microsoft poinformował, że stwierdzono używanie nowego błędu o tym samym skutku (CVE-2015-1769). Jeśli macie Windowsa i jeszcze nie zainstalowaliście wtorkowych aktualizacji (w tym naprawiających krytyczne błędy w Office, IE/Edge i innych komponentach), zróbcie to teraz a potem możecie wrócić do lektury.

Tym razem problem nie leży w przetwarzaniu ikon, a w funkcji Mount Manager. Jego wykorzystanie pozwala na podniesienie uprawnień oraz zapisanie na dysku i wykonanie dowolnego programu. W przeciwieństwie do błędu ze Stuxnetu, który był określony jako krytyczny, ten został sklasyfikowany jako ważny, a zatem o jedną kategorię niżej. Wynika to z faktu, że starszy błąd można było wywołać również zdalnie, a nowy da się wykorzystać tylko dzięki fizycznej obecności w pobliżu infekowanej maszyny. Błąd jest dosyć uniwersalny – występuje we wszystkich wspieranych wersjach Windows (w niewspieranych prawdopodobnie też).

Czytaj  Automatyczne uruchamianie programu po starcie Windowsa

Na szczęście dosyć łatwo można stwierdzić, czy dany komputer padł ofiarą takiego ataku. Jak informuje Microsoft, wystarczy poszukać w logach Event (ID:100) generowanego przez MountMgr lub Microsoft-Windows-MountMgr. Co prawda może się zdarzyć, że taki wpis nie oznacza ataku, ale prawdopodobieństwo, że był to niewinny przypadek, jest znikome.

usb

Do trzech razy sztuka

W tym ataku naszym zdaniem najciekawszym problemem jest jego skuteczność. O ile wydaje się, że kod eksploita może być stabilny i wykonywać się za każdym razem, to pamiętajmy, że najpierw musi dojść do prawidłowego podłączenia dysku USB. Czy zatem agenci infekujący komputery wroga są specjalnie szkoleni, by włożyć napęd USB prawidłowo już za pierwszym razem? Jak wygląda takie szkolenie i czy nie warto go przeprowadzić dla całej populacji?

usb-superposition

Polecane wpisy
Proxy, jak działa proxy, rodzaje proxy
proxy

Historia proxy sięga początków internetu. Pierwotnie miały one zastosowanie jedynie w celu filtrowania ruchu sieciowego i blokowania niechcianych stron internetowych. Czytaj dalej

7-Zip jak pobrać i zainstalować

7-Zip jest darmowym programem do kompresji i archiwizacji plików, który potrafi rozpakować wiele różnych formatów plików. Oto kilka z najpopularniejszych Czytaj dalej

1 KOMENTARZ

Możliwość komentowania została wyłączona.