Вчера во вторник, выпуском очередной порции патчей для операционных систем под управлением Windows, корпорация Microsoft закрыла опасные уязвимости и бреши в операционной системе. Как сообщили в Microsoft, основная и самая опасная уязвимость, которая в момент своего обнаружения имела статус нулевого дня и эксплуатировалась нашумевшим компьютерным червем Worm.Win32.Stuxnet закрыта. Данный червь примечателен тем, что, по сути, является инструментом промышленного шпионажа, — он предназначен для получения доступа к системе Siemens WinCC, которая отвечает за сбор данных и оперативное диспетчерское управление производством. Со времени обнаружения в июле 2010 года Worm.Win32.Stuxnet продолжает оставаться объектом пристального внимания антивирусных аналитиков. Эксперты «Лаборатории Касперского» выяснили, что, помимо уязвимости в обработке LNK/PIF файлов, Stuxnet использует еще четыре уязвимости Windows, одну из которых (MS08-067), использовал в свое время широко известный червь Kido (Conficker) в начале 2009 года. Однако, три других уязвимости были ранее неизвестны и затрагивали актуальные версии Windows. Для своего распространения по сети Stuxnet, помимо MS08-067, использует уязвимость в службе Диспетчер печати (Print Spooler) Windows, которая позволяет передать и выполнить вредоносный код на удаленном компьютере. Исходя из особенностей уязвимости, заражению подвержены компьютеры, использующие принтер и предоставляющие к нему общий доступ. Заразив компьютер внутри локальной сети, через данную лазейку Stuxnet пытался проникнуть на другие машины. Сразу после обнаружения уязвимости эксперты «Лаборатории Касперского» уведомили Microsoft о найденной проблеме; их выводы были подтверждены специалистами производителя ОС. Уязвимость классифицирована как Print Spooler Service Impersonation Vulnerability и ей был присвоен статус критической. В Microsoft немедленно приступили к созданию соответствующего патча MS10-061, который также был выпущен во вторник 14 сентября 2010 г. Кроме того, специалисты «Лаборатории Касперского» обнаружили еще одну уязвимость «нулевого дня», относящуюся к классу Elevation of Privilege, которая использовалась червем для получения полного контроля над зараженной системой. Вторая аналогичная уязвимость (EoP) была обнаружена специалистами Microsoft. Обе уязвимости будут исправлены в будущих обновлениях для ОС Windows. Главный антивирусный эксперт «Лаборатории Касперского» Александр Гостев отмечает в своем блоге, что «факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории. До сих пор нам не приходилось сталкиваться с угрозами, которые содержали бы в себе столько сюрпризов. Добавьте к этому использование подлинных цифровых сертификатов Realtek и JMicron, и вспомните об основной цели червя — получении доступа к информации промышленных систем Simatic WinCC SCADA. Стоит отметить и очень высокий уровень программирования, продемонстрированный авторами червя». «Факт наличия сразу четырех уязвимостей, впервые использованных в Stuxnet, делает данную вредоносную программу действительно уникальным явлением в истории, — комментирует Александр Гостев. — До сих пор нам не приходилось сталкиваться с угрозами, которые содержали бы в себе столько сюрпризов. Добавьте к этому использование подлинных цифровых сертификатов Realtek и JMicron, и вспомните об основной цели червя — получении доступа к информации промышленных систем Simatic WinCC SCADA. Стоит отметить и очень высокий уровень программирования, продемонстрированный авторами червя».