Vulnerabilitatile Windows, o tinta populara pentru hackeri in luna august

Experţii Kaspersky Lab au redactat topurile celor mai răspândite tipuri de malware în luna august a acestui an. Ameninţările de tip exploit şi viermii care exploatează vulnerabilităţi în sistemul de operare Microsoft Windows au ocupat fruntea clasamentelor, ridicând cele mai mari probleme utilizatorilor.

Cea mai exploatată vulnerabilitate a fost CVE-2010-2568, folosită la început de Worm.Win32.Stuxnet – un vierme de reţea a cărui notorietate a prins contur în luna iulie -, fiind apoi urmat de Virus.Win32.Sality.ag, un program periculos de tip Trojan-Dropper care instalează ultima versiune a virusului Sality. Infractorii cibernetici nu au vrut să piardă timpul şi au exploatat această vulnerabilitate până când Microsoft a lansat pe 2 august un patch de securitate, catalogat ca actualizare critică.

Vulnerabilitatea CVE-2010-2568 reprezintă o breşă în securitatea scurtăturilor (shortcuts) LNK şi PIF din Windows, iar malware-ul care o exploatează se răspândeşte prin intermediul dispozitivelor mobile USB infectate.

Computerele vulnerabile se infectează atunci când utilizatorii accesează un flash USB infectat, fie prin funcţia Autorun din Windows, fie direct din Windows Explorer sau orice alt program de management al fişierelor. Un shortcut special creat de malware descarcă un fişier DLL extern care poate executa orice fel de cod, folosindu-se de privilegiile utilizatorului care a deschis fereastra de acces la respectivul dispozitiv USB.

În august au intrat în clasament trei noi tipuri de malware care ţintesc această breşă. Două dintre acestea – Exploit.Win32.CVE-2010-2568.d (locul nouă) şi Exploit.Win32.CVE-2010-2568.b (locul 12) – exploatează direct vulnerabilitatea, pe când Trojan-Dropper.Win32.Sality.r (locul 17) o foloseşte pentru a se propaga.

Acesta din urmă generează scurtături LNK cu nume create special pentru a atrage atenţia şi le răspândeşte în reţelele locale. Malware-ul este lansat în momentul în care utilizatorul deschide un director care conţine una dintre scurtături, rolul lui Trojan-Dropper.Win32.Sality.r fiind de a instala o ultimă versiune a virusului Virus.Win32.Sality.ag (locul 16).

Ambele programe periculoase care exploatează vulnerabilitatea CVE-2010-2568 sunt cel mai des întâlnite în Rusia, India şi Brazilia. În timp ce India este sursa principală pentru viermele Stuxnet (primul tip de malware care ţintea această vulnerabilitate), experţii în securitate nu au descoperit încă rolul Rusiei în această ecuaţie.

Alte două vulnerabilităţi din Windows exploatate de infractorii cibernetici în luna august au fost CVE-2010.1885 şi CVE-2010-0806. În iulie, topurile arătau un singur exploit care ţinteau vulnerabilitatea CVE-2010-1885, iar în august numărul lor a crescut până la cinci. Aceasta este asociată cu o eroare din Windows Help and Support Center care permite rularea de cod malware pe sistemele Windows XP şi Windows 2003. Se pare că popularitatea încă ridicată a acestor sisteme de operare a condus la creşterea numărului de exploit-uri.