• Informatyka

    Nowy atak na Windows przez USB

    Redakcja Opublikowane w

    Gdy połączone siły Ameryki i Izraela atakowały irańskie instalacje nuklearne, podstawową metodą infekcji wybranych komputerów był błąd typu 0day w obsłudze plików .LNK na dysku USB. Błąd został już dawno załatany, ale właśnie pojawił się nowy.

    Jak zainstalować swój kod na komputerze, do którego nie ma dostępu sieciowego? Z pomocą przychodzą eksploity na USB – wystarczy sprowokować ofiarę do podłączenia napędu lub dostać się wystarczająco blisko komputera, by na chwilę podłączyć swój dysk. Microsoft informuje, że właśnie załatał kolejny błąd pozwalający na instalację oprogramowania bezpośrednio po podłączeniu dysku USB. Co więcej, błąd ten jest wykorzystywany w praktyce.

    Jak w Stuxnecie

    Stuxnet, do tej pory uważany za jedno z najniebezpieczniejszych kiedykolwiek stworzonych narzędzi cyberdestrukcji, wykorzystywał do swego działania aż 5 błędów typu 0day. Jednym z nich był problem w przetwarzaniu ikon w plikach .LNK, pozwalający na wykonanie dowolnego kodu poprzez samo podłączenie odpowiednio spreparowanego dysku USB. Błąd ten jest już dawno załatany, jednak dzisiaj Microsoft poinformował, że stwierdzono używanie nowego błędu o tym samym skutku (CVE-2015-1769). Jeśli macie Windowsa i jeszcze nie zainstalowaliście wtorkowych aktualizacji (w tym naprawiających krytyczne błędy w Office, IE/Edge i innych komponentach), zróbcie to teraz a potem możecie wrócić do lektury.

    Tym razem problem nie leży w przetwarzaniu ikon, a w funkcji Mount Manager. Jego wykorzystanie pozwala na podniesienie uprawnień oraz zapisanie na dysku i wykonanie dowolnego programu. W przeciwieństwie do błędu ze Stuxnetu, który był określony jako krytyczny, ten został sklasyfikowany jako ważny, a zatem o jedną kategorię niżej. Wynika to z faktu, że starszy błąd można było wywołać również zdalnie, a nowy da się wykorzystać tylko dzięki fizycznej obecności w pobliżu infekowanej maszyny. Błąd jest dosyć uniwersalny – występuje we wszystkich wspieranych wersjach Windows (w niewspieranych prawdopodobnie też).

    Czytaj  Wi-Fi 7 to najnowszy standard bezprzewodowej technologii, Wi-Fi 7 i jego parametry. Możliwości Wi-Fi 7.

    Na szczęście dosyć łatwo można stwierdzić, czy dany komputer padł ofiarą takiego ataku. Jak informuje Microsoft, wystarczy poszukać w logach Event (ID:100) generowanego przez MountMgr lub Microsoft-Windows-MountMgr. Co prawda może się zdarzyć, że taki wpis nie oznacza ataku, ale prawdopodobieństwo, że był to niewinny przypadek, jest znikome.

    usb

    Do trzech razy sztuka

    W tym ataku naszym zdaniem najciekawszym problemem jest jego skuteczność. O ile wydaje się, że kod eksploita może być stabilny i wykonywać się za każdym razem, to pamiętajmy, że najpierw musi dojść do prawidłowego podłączenia dysku USB. Czy zatem agenci infekujący komputery wroga są specjalnie szkoleni, by włożyć napęd USB prawidłowo już za pierwszym razem? Jak wygląda takie szkolenie i czy nie warto go przeprowadzić dla całej populacji?

    usb-superposition

    Polecane wpisy
    Co to jest kryptowaluta? Informator na temat kryptowalut

    By pokazać jak działa kryptowaluta, rozpoczniemy od odpowiedzi na pytanie czym w ogóle ona jest, a następnie podzielimy temat na Czytaj dalej

    Windows 12 instalacja
    Windows 12 instalacja

    Windows 12: instalacja Windows 12, nadchodząca wersja systemu operacyjnego Microsoftu, będzie można zainstalować na dwa sposoby: Aktualizacja z Windowsa 11 Czytaj dalej

    Powiązane wpisy:

    1. Jak Przyspieszyć Windows 7 ?
    2. Przewodnik Zabezpieczeń systemu Windows 8 dla administratorów sieci
    3. Linux rośnie w siłę?
    4. Jak przyśpieszyć działanie gier i programów na Windows?
    5. Automatyczne uruchamianie programu po starcie Windowsa
    Otagowano:

    1 KOMENTARZ

    Możliwość komentowania została wyłączona.

    Redakcja
    Zobacz wszystkie wpisy

    Może ci się spodobać również