Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Software » Beheer & Beveiliging » Microsoft publiceert workarounds voor Stuxnet-worm

Microsoft publiceert workarounds voor Stuxnet-worm

Door Wout Funnekotter, maandag 19 juli 2010 15:12, views: 13.648

Microsoft heeft twee workarounds gepubliceerd om de pas ontdekte Stuxnet-worm tegen te gaan. Tevens is het Realtek-drivercertificaat dat door de worm wordt gebruikt na overleg met het bedrijf ingetrokken.

Om zich tegen de worm te weren, kunnen gebruikers twee dingen doen. Een eerste mogelijkheid is het via het register uitschakelen van het weergeven van iconen voor .lnk-bestanden. De andere mogelijkheid is het uitschakelen van de WebClient-service, maar dit kan tot gevolg hebben dat Microsoft Sharepoint niet meer correct functioneert. Verder heeft Microsoft in overleg met VeriSign en Realtek het drivercertificaat dat door de worm werd misbruikt ingetrokken. Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.

De exploit is terug te vinden in alle Windows-versies; zelfs de onlangs verschenen bèta van Service Pack 1 voor Windows 7 is vatbaar. Gebruikers van Windows XP met SP2 zullen naar SP3 moeten upgraden om een eventuele patch te kunnen ontvangen. Het tweede Service Pack van Windows XP ontvangt, net als Windows 2000, sinds kort geen beveiligingsupdates meer.

De Stuxnet-worm werd onlangs door het Wit-Russische bedrijf VirusBlokAda ontdekt en maakt gebruik van een exploit in Windows Shell. Door het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager. De worm installeert vervolgens een rootkit-driver die met een signatuur van hardwarefabrikant Realtek is ondertekend en wordt daarom vaak niet door antivirussoftware opgemerkt.

Volgende 15:41 EU lanceert internetportal met juridische informatie voor burgers
Vorige 14:48 Brein verliest kort geding tegen Ziggo om blokkeren The Pirate Bay
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 49 reacties zichtbaar490 Off-topic / Irrelevant: 48 reacties zichtbaar48+1 On-topic: 34 reacties zichtbaar34+2 Informatief: 1 reactie zichtbaar1+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door Xanadu_Soil, maandag 19 juli 2010 15:14

Score: 1
jammer dat er niet wordt weergegeven hoeveel pc's al geinfecteerd zijn.. ben wel benieuwd hoelang ze bezig zijn geweest om alles te achterhalen.

Door schoene, maandag 19 juli 2010 15:27

Score: 1
Uit het vorig bericht omtrent deze exploit:

De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en Indonesië.

zie nieuws: Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit

Door wildhagen, maandag 19 juli 2010 15:15

Score: 1
Verder heeft Microsoft in overleg met VeriSign en Realtek het drivercertificaat dat door de worm werd misbruikt ingetrokken.
Wat heeft dit voor consequneties voor x64-versies van Windows, waar driver signing immers verplicht is (standaard)? Werken die drivers dan opeens niet meer?
Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.
Deze detectie was al toegevoegd in versie 1.85.1626.0 van de definities, van 7 juli, hij word dus al bijna twee weken herkend.

Door Blokker_1999, maandag 19 juli 2010 15:38

Score: 1
Ik neem aan dat mensen met een 64bit systeem nieuwe drivers moeten downloaden vanaf het internet.

Door jabberwock, maandag 19 juli 2010 15:54

Score: 1
sterker nog...

Wat hebben de certificaten nog voor zin, als er dit soort praktijken plaatsvinden?

Door daft_dutch, maandag 19 juli 2010 15:58

Score: 1
Certificaten hebben zin als je ze kan terug trekken. the system seems to works.

Door BeosBeing, woensdag 21 juli 2010 08:50

Score: 0
Nou eigenlijk heeft zelfs het certificaat-systeem gefaalt, het betreft immers een bestaand certificaat, niet een vervalst certificaat. Dergelijke certificaten zouden niet door malware-makers verkrijgbaar moeten zijn.

Terugtrekken van een certificaat is een noodoplossing die eigenlijk helemaal nooit nodig zou moeten zijn, en de laatste en uiterste oplossing, maar ook één die slechts werkt op systemen die updatebaar zijn.

Aangezien er geen updates meer worden gemaakt voor Windows XP sp2 (waarom niet en sp3 wel?) en voor de door mij gebruikte Windows 2000 (Ondanks XP-sticker doet hij het niet met XP, althans niet met mijn gekochte CD) en mijn systeem te weinig geheugen heeft voor Win7 (Voor Vista in theorie wel, maar dat verbruikt nog meer geheugen als Win7, is dus helemaal niet werkbaar) betekent dit een ernstig probleem voor mij en dus eigenlijk dat ik Windows helemaal moet uitrangeren.

Feitelijk zijn beide work-arounds dus nood-oplossingen en is een echte oplossing iets voor de lange termijn.

De mogelijkheid tot het uitschakelen van de webclient-service lijkt mij voor de de beste mogelijkheid voor vrijwel alle thuisgebruikers en voor zakelijke gebruikers die Sharepoint niet gebruiken. Zij hebben van deze optie namelijk geen hinder.

Voor bedrijven waar men wel afhankelijk is van Sharepoint is de enige optie dus het uitschakelen van de icoon-weergave, maar hel lijkt mij dat dit voor de meeste gebruikers nou net een enorm probleem is.

Wat mij betreft zou een goede filemanager die zonder iconen werkt (maar dus wel drag&drop e.d., dit in tegenstelling tot command-prompt-filemanagers zoals Norton Commander) en Explorer vervangt (én verwijderd) de beste optie zijn, maar een dergelijke filemanager ben ik nog nooit tegengekomen.

Door mjtdevries, maandag 19 juli 2010 16:01

Score: 1
Zo makkelijk is het niet om een valide certificaat van Realtek te krijgen. Dus ceritificaten blijven wel zin hebben.

Heb jij een slot op je deur zitten?
Wat voor zin heeft dat terwijl er lopers zijn?

Door BeosBeing, woensdag 21 juli 2010 08:52

Score: 0
Blijkbaar wel, de vraag is hoeveel andere valide certificaten binnenkort in handen van malware-makers blijken te zijn. Als die er niet zijn, dan zit het lek dus bij Realtek, lijkt me dus voorlopig een reden om Realtek soft- en hardware te vermijden.

Door Tukkertje-RaH, maandag 19 juli 2010 15:15

Score: 1
... Waarbij moet worden aangetekend dat voor zover ik weet deze worm alleen wordt verspreid via USB sticks of andere draagbare media, en dus niet via het internet. De aantallen besmette pc's wordt dan ook meer in de duizenden dan in de miljoenen geteld....

Zie ook http://security.nl/artike..._ernstig_Windows-lek.html met een grafisch overzicht van de verspreiding...

Door Blokker_1999, maandag 19 juli 2010 15:39

Score: 1
Maar, vanaf dat je een besmette stick in je PC steekt en opend in je verkenner verspreid de worm zich. Er is geen autorun of dergelijke nodig.

[Reactie gewijzigd door Blokker_1999 op maandag 19 juli 2010 15:39]

Door citruspers, maandag 19 juli 2010 15:15

Score: 1
De andere mogelijkheid is het uitschakelen van de WebClient-service, maar dit kan tot gevolg hebben dat Microsoft Sharepoint niet meer correct functioneert.
Och, veel erger kan het niet worden zou ik zeggen :+

En weer ontopic: het schijnt dat het realtek certificaat (tenminste, de private key) is gelekt door de recente uitbesteding van programmeurs naar India? (bron: security now)

Door cosmo_roel, maandag 19 juli 2010 15:16

Score: 1
...en wordt daarom vaak niet door antivirussoftware opgemerkt.
Ik mag hopen dat AV bedrijven zorgen dat dit specifieke geval ondertussen wel herkend wordt?

edit:
Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.
Microsoft heeft er in ieder geval wel voor gezorgd. Dan zal dat bij de rest ook wel zo zijn.

[Reactie gewijzigd door cosmo_roel op maandag 19 juli 2010 15:29]

Door Lyon_NL, maandag 19 juli 2010 16:08

Score: 1
Nu wel inderdaad. Dit komt omdat Verisign een geautoriseerd certificaat heeft ingetrokken. Zodra dit gebeurt is kunnen virus beveiligers dit ook in hun definitions gaan opnemen.

Door BeosBeing, woensdag 21 juli 2010 08:53

Score: 0
Tja, wat mij betreft is het helemaal niet ingetrokken, in mijn OS is het nog steeds geldig en zal het dat blijven totdat ik het OS uitrangeer.

Door MasterMaarten, maandag 19 juli 2010 15:16

Score: 1
Wordt dit niet verwijdert door een antivirus dan als het al gevonden is?

Door beany, maandag 19 juli 2010 15:17

Score: 1
Door het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager.
Hoe kunnen ze .lnk bestanden manipuleren :? Vanuit een browser toch niet lijkt me? Het .lnk bestand moet dus al op de computer staan?

Of stoppen ze die .lnk bestanden in .rar archieven die nogal veel op usenet staan?

Door Xesxen, maandag 19 juli 2010 15:29

Score: 1
Of je bent niet verstandig bezig en installeert de nodige programma's van het internet die je tegenkomt, wat een 'normale' gebruiker vaak doet. Ik heb al veel gezien hoor |:( .

Door AHBdV, maandag 19 juli 2010 16:35

Score: 2
Die .lnk bestanden staan typisch op USB sticks... Zo gauw je dan met de explorer naar de USB disk/stick van iemand gaat om een bestand te kopieren, zal je dus besmet worden.

Dus de aloude methode van malware verspreiding. Maar dat gaat natuurlijk veeeel langzamer dan internet, en is dus minder gevaarlijk.


Wat me nog steeds niet duidelijk is, of UAC hier tegen beschermd. In principe moet toch bij iedere driver installatie via UAC toestemming worden gevraagd? Of gaat dit buiten UAC om?

Door Jorgen, maandag 19 juli 2010 15:29

Score: 1
"het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager."

Dus een virus o.i.d. kan zelfs actief worden, wanneer je een bestand alleen in beeld hebt? Dat wist ik niet.

Dan kan je dus ook beter niet je downloadsmap openen, (bijvoorbeeld om te zien welke bestanden je al binnenhebt), voordat je je virusscanner er over hebt laten lopen?! Nog meer oppassen, dus. :|

Door KompjoeFriek, maandag 19 juli 2010 15:40

Score: 1
Hedendaagse virusscanners bekijken direct wat er allemaal het geheugen in geladen wordt. Op die manier zou het virus alsnog gestopt kunnen worden voordat het daadwerkelijk iets doet.

Deze manier is volgens mij toch al tijden geleden via een icon in .exe bestanden misbruikt. Dit zal waarschijnlijk op een compleet andere manier gebeuren, maar voor mij als gebruiker lijkt het hetzelfde.

Door i-chat, dinsdag 20 juli 2010 13:46

Score: 0
let wel, niet alle scanners doen 'on access' volgens mij diet ook MSSE dit niet..

Door BeosBeing, woensdag 21 juli 2010 08:55

Score: 0
Gewoon altijd de command-promt gebruiken, Explorer en consorten zijn dus onveilig.

Door wheez50, maandag 19 juli 2010 15:33

Score: 1
@beany - Als je een usbstick/hd/iets anders verwijerbaars op usb in je computer steekt, kijkt windows ff wat het er mee moet doen. Windows kan zelfs programma's automagisch opstarten. Dat kan uitgeschakeld worden zodat virussen niet automagisch opgestart kunnen woorden vanaf usb.

Maar blijkbaar gaat windows niet zo lekker om met snelkoppelingen die vaak op zo'n sticky staan. Zoals het nu uitgelegd wordt is de snelkoppeling naar het programma wat op moet worden gestart de boosdoener. Die heet trouwens nog wel eens iets van autostart.lnk :) - die snelkoppeling heeft vaak ook een icoon. En bij het ophalen van dat icoon kan er blijkbaar code worden uitgevoerd. En dat is wat dit virus doet.

Dus hoef je je verwijderbare usbdingetje maar te openen in verkenner en het virus wordt actief.

Door Henk Uberogus, maandag 19 juli 2010 15:33

Score: 0
Is iedereen in Redmond op zomervakantie ofzo dat we dit soort knullige trucjes krijgen i.p.v. gewoon een update? Doet me een beetje denken aan de Amerikaanse regering die na 9/11 burgers adviseerde om vuilniszakken voor hun ramen te tapen tegen biowapens.

Door BeosBeing, woensdag 21 juli 2010 08:59

Score: 0
Tja, het is een root-kit en blijkbaar vind men (daarom) het een dusdanige bedrijging dat ze niet willen wachten tot er een echte oplossing voor is. Persoonlijk ben ik het daar wel mee eens.

Naar mijn mening hoort er bij het ophalen van een bitmap (wat een icoontje immers is, zeker als het in een .ico bestand zit en niet in een .exe) geen code uitgevoerd te kunnen worden maar blijkbaar is dat nu wel nodig, en dus zit het nogal diep in Windows ingebakken.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 15:41 EU lanceert internetportal met juridische informatie voor burgers
Vorige 14:48 Brein verliest kort geding tegen Ziggo om blokkeren The Pirate Bay
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011