Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Microsoft heeft twee workarounds gepubliceerd om de pas ontdekte Stuxnet-worm tegen te gaan. Tevens is het Realtek-drivercertificaat dat door de worm wordt gebruikt na overleg met het bedrijf ingetrokken.

Om zich tegen de worm te weren, kunnen gebruikers twee dingen doen. Een eerste mogelijkheid is het via het register uitschakelen van het weergeven van iconen voor .lnk-bestanden. De andere mogelijkheid is het uitschakelen van de WebClient-service, maar dit kan tot gevolg hebben dat Microsoft Sharepoint niet meer correct functioneert. Verder heeft Microsoft in overleg met VeriSign en Realtek het drivercertificaat dat door de worm werd misbruikt ingetrokken. Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.

De exploit is terug te vinden in alle Windows-versies; zelfs de onlangs verschenen bèta van Service Pack 1 voor Windows 7 is vatbaar. Gebruikers van Windows XP met SP2 zullen naar SP3 moeten upgraden om een eventuele patch te kunnen ontvangen. Het tweede Service Pack van Windows XP ontvangt, net als Windows 2000, sinds kort geen beveiligingsupdates meer.

De Stuxnet-worm werd onlangs door het Wit-Russische bedrijf VirusBlokAda ontdekt en maakt gebruik van een exploit in Windows Shell. Door het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager. De worm installeert vervolgens een rootkit-driver die met een signatuur van hardwarefabrikant Realtek is ondertekend en wordt daarom vaak niet door antivirussoftware opgemerkt.

Gerelateerde content

Alle gerelateerde content (24)
Moderatie-faq Wijzig weergave

Reacties (49)

Door het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager.
Hoe kunnen ze .lnk bestanden manipuleren :? Vanuit een browser toch niet lijkt me? Het .lnk bestand moet dus al op de computer staan?

Of stoppen ze die .lnk bestanden in .rar archieven die nogal veel op usenet staan?
Die .lnk bestanden staan typisch op USB sticks... Zo gauw je dan met de explorer naar de USB disk/stick van iemand gaat om een bestand te kopieren, zal je dus besmet worden.

Dus de aloude methode van malware verspreiding. Maar dat gaat natuurlijk veeeel langzamer dan internet, en is dus minder gevaarlijk.


Wat me nog steeds niet duidelijk is, of UAC hier tegen beschermd. In principe moet toch bij iedere driver installatie via UAC toestemming worden gevraagd? Of gaat dit buiten UAC om?
Of je bent niet verstandig bezig en installeert de nodige programma's van het internet die je tegenkomt, wat een 'normale' gebruiker vaak doet. Ik heb al veel gezien hoor |:( .
Verder heeft Microsoft in overleg met VeriSign en Realtek het drivercertificaat dat door de worm werd misbruikt ingetrokken.
Wat heeft dit voor consequneties voor x64-versies van Windows, waar driver signing immers verplicht is (standaard)? Werken die drivers dan opeens niet meer?
Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.
Deze detectie was al toegevoegd in versie 1.85.1626.0 van de definities, van 7 juli, hij word dus al bijna twee weken herkend.
sterker nog...

Wat hebben de certificaten nog voor zin, als er dit soort praktijken plaatsvinden?
Certificaten hebben zin als je ze kan terug trekken. the system seems to works.
Nou eigenlijk heeft zelfs het certificaat-systeem gefaalt, het betreft immers een bestaand certificaat, niet een vervalst certificaat. Dergelijke certificaten zouden niet door malware-makers verkrijgbaar moeten zijn.

Terugtrekken van een certificaat is een noodoplossing die eigenlijk helemaal nooit nodig zou moeten zijn, en de laatste en uiterste oplossing, maar ook ťťn die slechts werkt op systemen die updatebaar zijn.

Aangezien er geen updates meer worden gemaakt voor Windows XP sp2 (waarom niet en sp3 wel?) en voor de door mij gebruikte Windows 2000 (Ondanks XP-sticker doet hij het niet met XP, althans niet met mijn gekochte CD) en mijn systeem te weinig geheugen heeft voor Win7 (Voor Vista in theorie wel, maar dat verbruikt nog meer geheugen als Win7, is dus helemaal niet werkbaar) betekent dit een ernstig probleem voor mij en dus eigenlijk dat ik Windows helemaal moet uitrangeren.

Feitelijk zijn beide work-arounds dus nood-oplossingen en is een echte oplossing iets voor de lange termijn.

De mogelijkheid tot het uitschakelen van de webclient-service lijkt mij voor de de beste mogelijkheid voor vrijwel alle thuisgebruikers en voor zakelijke gebruikers die Sharepoint niet gebruiken. Zij hebben van deze optie namelijk geen hinder.

Voor bedrijven waar men wel afhankelijk is van Sharepoint is de enige optie dus het uitschakelen van de icoon-weergave, maar hel lijkt mij dat dit voor de meeste gebruikers nou net een enorm probleem is.

Wat mij betreft zou een goede filemanager die zonder iconen werkt (maar dus wel drag&drop e.d., dit in tegenstelling tot command-prompt-filemanagers zoals Norton Commander) en Explorer vervangt (ťn verwijderd) de beste optie zijn, maar een dergelijke filemanager ben ik nog nooit tegengekomen.
Zo makkelijk is het niet om een valide certificaat van Realtek te krijgen. Dus ceritificaten blijven wel zin hebben.

Heb jij een slot op je deur zitten?
Wat voor zin heeft dat terwijl er lopers zijn?
Blijkbaar wel, de vraag is hoeveel andere valide certificaten binnenkort in handen van malware-makers blijken te zijn. Als die er niet zijn, dan zit het lek dus bij Realtek, lijkt me dus voorlopig een reden om Realtek soft- en hardware te vermijden.
Ik neem aan dat mensen met een 64bit systeem nieuwe drivers moeten downloaden vanaf het internet.
Het lijkt mij dat er niet veel schade aangericht kan worden als UAC geactiveerd is - of denk ik nu verkeerd? Zonder admin rechten kan die worm ook niet veel doen lijkt mij.

[Reactie gewijzigd door X_lawl_X op 19 juli 2010 15:58]

Ook dan. Alleen al bij weergave installeerd het programma in silent modus. Hoe dit kan en wat het exact doet is mij nog onduidelijk...
Er zit een exploit in de bibliotheek in Windows die de icoontjes weergeeft (lek werkt dus ook in tools zoals Total Commander, etc), waardoor het mogelijk is om custom code uit te voeren. Wat ze vervolgens doen is een gesignde driver (met het Realtek certificaat) via de Windows API installeren, waarmee ze vervolgens allerlei gekke dingen op je systeem mee kunnen uithalen. Wat ze nu hebben kunnen tegenhouden is dat de driver wordt geÔnstalleerd, aangezien het certificaat nu is ingetrokken.

[Reactie gewijzigd door captain007 op 19 juli 2010 16:42]

jammer dat er niet wordt weergegeven hoeveel pc's al geinfecteerd zijn.. ben wel benieuwd hoelang ze bezig zijn geweest om alles te achterhalen.
Uit het vorig bericht omtrent deze exploit:

De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en IndonesiŽ.

zie nieuws: Malware met Realtek-signatuur gebruikt nieuwe Windows-exploit
... Waarbij moet worden aangetekend dat voor zover ik weet deze worm alleen wordt verspreid via USB sticks of andere draagbare media, en dus niet via het internet. De aantallen besmette pc's wordt dan ook meer in de duizenden dan in de miljoenen geteld....

Zie ook http://security.nl/artike..._ernstig_Windows-lek.html met een grafisch overzicht van de verspreiding...
Maar, vanaf dat je een besmette stick in je PC steekt en opend in je verkenner verspreid de worm zich. Er is geen autorun of dergelijke nodig.

[Reactie gewijzigd door Blokker_1999 op 19 juli 2010 15:39]

...en wordt daarom vaak niet door antivirussoftware opgemerkt.
Ik mag hopen dat AV bedrijven zorgen dat dit specifieke geval ondertussen wel herkend wordt?

edit:
Ook heeft het de worm toegevoegd aan de database van zijn Security Essentials antivirusoftware, zodat hij wordt ontdekt voordat hij schade kan aanrichten.
Microsoft heeft er in ieder geval wel voor gezorgd. Dan zal dat bij de rest ook wel zo zijn.

[Reactie gewijzigd door cosmo_roel op 19 juli 2010 15:29]

Nu wel inderdaad. Dit komt omdat Verisign een geautoriseerd certificaat heeft ingetrokken. Zodra dit gebeurt is kunnen virus beveiligers dit ook in hun definitions gaan opnemen.
Tja, wat mij betreft is het helemaal niet ingetrokken, in mijn OS is het nog steeds geldig en zal het dat blijven totdat ik het OS uitrangeer.
"het manipuleren van .lnk-bestanden kan schadelijke code worden uitgevoerd zodra een gebruiker het icoon van een .lnk-bestand in beeld heeft binnen Windows Explorer of een andere filemanager."

Dus een virus o.i.d. kan zelfs actief worden, wanneer je een bestand alleen in beeld hebt? Dat wist ik niet.

Dan kan je dus ook beter niet je downloadsmap openen, (bijvoorbeeld om te zien welke bestanden je al binnenhebt), voordat je je virusscanner er over hebt laten lopen?! Nog meer oppassen, dus. :|
Hedendaagse virusscanners bekijken direct wat er allemaal het geheugen in geladen wordt. Op die manier zou het virus alsnog gestopt kunnen worden voordat het daadwerkelijk iets doet.

Deze manier is volgens mij toch al tijden geleden via een icon in .exe bestanden misbruikt. Dit zal waarschijnlijk op een compleet andere manier gebeuren, maar voor mij als gebruiker lijkt het hetzelfde.
let wel, niet alle scanners doen 'on access' volgens mij diet ook MSSE dit niet..
Gewoon altijd de command-promt gebruiken, Explorer en consorten zijn dus onveilig.
enige wat ik graag wil weten:
hoe heeft die worm een realtek certificaat gebruikt???
Hoe komt die worm aan die certificaat???
Dat wil iedereen weten. Mogelijkheid is, zoals aangegeven in een eerdere reactie, dat deze gelekt is bij een software aanbesteding door Realtek in India.

Mijn probleem is: Hoe zorg ik dat de netwerken die ik beheer niet geinfecteerd raken zonder dat ik gebruikers bang maak?

En wat doet deze worm exact? Hoe kan ik deze verwijderen. Maakt mij nog relatief weinig uit hoe dit kon gebeuren. Eerst oplossen, dan onderzoeken hoe het kan gebeuren. Inmiddels is het certificaat al ingetrokken en kunnen ze er geen software meer mee verspreiden. Andere bedrijven moeten echter wel heel secuur hiermee omgaan. Dit is een duidelijk signaal dat ze moeten oppassen!
Weet iemand of AVG (free edition) al bescherming biedt? Kon op de site van AVG en via Google zo snel niets vinden. Wel gisteren een update gehad waarbij restart van de PC noodzakelijk was.
De andere mogelijkheid is het uitschakelen van de WebClient-service, maar dit kan tot gevolg hebben dat Microsoft Sharepoint niet meer correct functioneert.
Och, veel erger kan het niet worden zou ik zeggen :+

En weer ontopic: het schijnt dat het realtek certificaat (tenminste, de private key) is gelekt door de recente uitbesteding van programmeurs naar India? (bron: security now)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True