Kaspersky: Stuxnet-lek wordt nog steeds actief misbruikt

Het lek dat ruim vier jaar geleden werd gebruikt om Iraanse nucleaire installaties aan te vallen, wordt nog steeds actief misbruikt. Dat blijkt uit statistieken van Kaspersky. Vooral Windows XP-gebruikers worden nog vaak aangevallen.

Tussen november en juni nam Kaspersky via zijn beveiligingssoftware, die statistieken terugstuurt naar servers van Kaspersky, 50 miljoen keer een poging waar om malware te installeren met behulp van het Stuxnet-lek. Dat gebeurde op 19 miljoen unieke pc's, blijkt uit een rapport dat Kaspersky heeft vrijgegeven.

Het lek werd in juli 2010 aangetroffen en maakt misbruik van een lek in de manier waarop Windows snelkoppelingen verwerkt. Daardoor was het mogelijk om malware te installeren. Het lek werd misbruikt door Stuxnet, een worm die zich richtte op Iraanse nucleaire installaties en volgens The New York Times afkomstig is van de Amerikaanse overheid.

Het lek werd in de herfst van 2010 al gedicht; dat maakt het des te opmerkelijker dat aanvallers nog steeds proberen om het lek te misbruiken. Het grootste deel van de pogingen om het lek te misbruiken - 64,19 procent - vindt plaats op Windows XP. Gebruikers uit Vietnam, India en Indonesië worden het vaakst aangevallen.

Uit het rapport van Kaspersky blijkt verder dat slechts vijf verschillende bugs verantwoordelijk zijn voor 90 procent van de infectiepogingen. Het gaat daarbij voor een groot deel om bugs die al jaren geleden zijn gedicht; het meest recente lek stamt uit 2013, de rest uit de jaren daarvoor. Het gaat onder meer om een bug in Word, een kwetsbaarheid in Silverlight en een fout in de manier waarop Windows TrueType-lettertypen verwerkt.

IT-banen

Reacties (35)

Verwijderd 7 augustus 2014 15:00

Zijn er nog (veel) Windows XP gebruikers dan? nadat microsoft aangekondigd had dat ze het niet meer ondersteunen leek het mij dat het overgrote deel overgestapt was naar windows 7 of hoger.

Verwijderd @Verwijderd • 7 augustus 2014 15:09

24.82% van de wereldwijde computers draait het nog. Bron

M.l. @Verwijderd • 7 augustus 2014 19:17

Da's dan nog het gedeelte wat meetbaar is. Er zullen ook heel wat computers op Windows XP draaien die niet aan het internet gekoppeld zijn. Hoewel die een veel kleinere kans hebben geinfecteerd te worden is de kans er wel, maar dat vereist in veel van de gevallen fysieke toegang maar dan krijg je bijna ieder systeem wel op de knieen.

Verwijderd @M.l. • 7 augustus 2014 23:23

Jup, hier op het lab hebben ze een aantal XP computers verplicht moeten loskoppelen van het internet. Reden dat deze nog XP draaien is waarschijnlijk vanwege software die alleen XP-compatible is en vereist is voor het correct functioneren van wetenschappelijke apparaten.

TweakTwitch @Verwijderd • 8 augustus 2014 02:53

Mensen mogen wel eens bekend gaan worden met virtuele machines en software zoals vm ware vind dat probleem dan toch aardig opgelost. Natuurlijk niet volledig maar t helpt

plukke @TweakTwitch • 8 augustus 2014 08:06

Totdat je een PCI of PCIe communicatiekaart nodig hebt die geen SR-IOV ondersteund en op geen enkele fatsoenlijke manier aan een VM toe te wijzen is...

Helaas is het zo dat de pc's in de industrie/wetenschap ed zover verouderd zijn omdat de apparaten die ze besturen vaak miljoenen euro's kosten, en een upgrade downtime, en als upgraden al mogelijk is gewoon enorm veel geld..

sanderv @TweakTwitch • 8 augustus 2014 08:09

Niet precies duidelijk wat dat oplost dan, en virtuele computer is toch ook een computer?

TweakTwitch @sanderv • 8 augustus 2014 14:08

Voor de oude software niet verbonden met internet en het nieuwe os de ondersteunende software lijkt me vrij handig en een vm zonder internet verbinding lijkt me vrij veilig

en ook voor het basis os zelf

Verwijderd @Verwijderd • 7 augustus 2014 20:29

Mjah, als het maar voor één taak is, is het ook makkelijk om het geheel dicht te spijkeren.

Het nieuwe altijd online syncen, accounts, cloud etc.. maakt het er in principe niet per definitie veiliger op. Zorg dat alleen dat wat moet communiceren ook mag en kan communiceren. Ik denk dat een oud OS wat dat betreft nog steeds een stuk overzichtelijker is.

Voor offline toepassingen zie ik zowiezo geen reden om met de toekomst mee te gaan.
Denk dat een DOS/OS2 systeem lang niet zo gevoelig is voor de huidige threads..

Is in ieder geval wat voor te zeggen. Als ik in Win8 mijn music app open dan synced ie al mijn mp3's om maar een simpel voorbeeld te geven.

Armin

Netwerk en systeembeheer

@Verwijderd • 7 augustus 2014 21:50

En het draaien op XP is nog niet eens het probleem.
Immers:

Uit het rapport van Kaspersky blijkt verder dat slechts vijf verschillende bugs verantwoordelijk zijn voor 90 procent van de infectiepogingen

De nieuwste is uit 2013, dus nog ver voordat de support beeindigd was. Dus zelfs als je je XP machine up-to-date had gehouden, was je niet vatbaar.

De enige conclusie is dat er kennelijk gewoon nog steeds miljoenen computers zijn die niet geupdate worden, maar wel aan het internet hangen. Omdat updates al sinds 10+ jaar standaard aan staan, geeft dat aan dat mensen/bedrijven dus nog steeds op grote schaal updates uitzetten op aan internet hangende PC's.

(En ik heb het dan dus niet over bedrijven die updates via hun servers laten lopen zodat ze eerst getest en goedgekeurd kunnen woren. Immers die krijgen updates wel gewoon, enkel ietsje later.)

M.l. @Verwijderd • 7 augustus 2014 19:14

Er zijn talloze systemen ontwikkeld op XP, met een if-it-aint-broken-dont-fix-it-mentaliteit laten bedrijven deze systemen gewoon draaien. Ze zullen best weten dat er geen ondersteuning voor is, maar als in de functieomschrijving van systeembeheerders niet staat dat ze die dingen ook veilig moeten houden maar alleen werkend moeten houden en je hebt een digibeten-directie dan krijg je dit soort situaties al snel. Ik vermoed dat in de landen die in het artikel genoemd worden ze gemiddeld de zaken niet zo netjes op orde hebben als wij hier. Daarnaast kost een nieuwe licentie op een actuele versie van Windows geld, brengt compatibiliteitsissues en gebruikers moeten even wennen wat in bedrijven veel geld kost. Overstappen naar Linux is in principe gratis, maar de rest van de eerder genoemde problemen zullen alleen maar groter zijn en kost dus toch veel geld.

Verwijderd @M.l. • 7 augustus 2014 20:30

Ze moeten dat soort applicaties ook ontwikkelen in QT. Dan kan je zonder veel moeite upgraden en verschillende operating systemen ondersteunen. En of als WebApps ontwikkelen. Als je nu nog bezig gaat om Embedded applicaties in .NET te programmeren blijf je dit soort problemen ook in de toekomst houden.

Dit probleem komt puur doordat Microsoft zijn walled garden pushed met o.a. hun eigen closed frameworks en met de gevolgen hiervan.

Embedded Software Engineers moeten zich niet te veel vastklampen aan de voeten van Microsoft maar meer naar de toekomst kijken.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:40]

M.l. @Verwijderd • 7 augustus 2014 20:59

Je hebt helemaal gelijk, maar helaas is de QT-community niet zo vermogend als Microsoft, dus kan het ook geen eye-candy developer tools maken en ook niet net zo veel mensen inhuren en trainen om hun product te verkopen/weggeven.

bonus @Verwijderd • 7 augustus 2014 15:02

Waarschijnlijk meer dan je denk, vooral oudere systemen of systemen met een eenvoudige taak waarvoor geen software is geschreven in win7 of hoger.
En ook in landen waar geld wat minder is om een nieuw OS of zelfs een hele nieuwe pc te kopen.

watercoolertje

Malware

@Verwijderd • 7 augustus 2014 15:03

Hier misschien maar in de genoemde landen blijkbaar niet...

Verwijderd @Verwijderd • 7 augustus 2014 20:28

Wat ik mij afvraag of deze lek nog in Windows XP Embedded zit. Wij gebruiken zelf ook namelijk XP nog. Binnenkort uitgefaseerd en overgaan naar W7 Embedded of Linux distro.

Het ging voornamelijk om SCADA pakketen die op XP draaien en zich dus op een netwerk bevinden. Voornamelijk om die van Siemens. (gelukkig zijn ze bij Siemens security nu ook serieus aan het nemen zoals alle locale connecties dus ook te encrypten)

[Reactie gewijzigd door Verwijderd op 26 juli 2024 21:40]

MrMonkE @Verwijderd • 7 augustus 2014 21:04

De nederlandse en engelse overheid hebben verlenging van de ondersteuning voor XP afgekocht bij microsoft. Dus dat zijn er al 2

Basszje @Verwijderd • 7 augustus 2014 15:24

Kwam het deze maand nog tegen op Berlijn Tegel AIrport. Niet op een terminal, maar op een desktop PC bij de checkinbalie.

Silmarunya @Basszje • 7 augustus 2014 15:54

Niet onlogisch dat men niet meer investeert in Tegel, die luchthaven had volgens plan al in 2012 gesloten moeten zijn. Dat hij alsnog tot 2015 zou moeten openblijven had niemand kunnen voorzien. Kosten op het sterfhuis noemen ze dat.

[Reactie gewijzigd door Silmarunya op 26 juli 2024 21:40]

Mr Pingu @Verwijderd • 7 augustus 2014 16:30

Het hotel waar ik afgelopen vakantie zat, draaide de kassa nog gewoon met windows xp...

Eloy @Mr Pingu • 7 augustus 2014 17:39

Het zijn dan niet eens 3e wereld landen, maar ik zag afgelopen week dat een kassa in een Franse supermarkt ook nog op Windows XP draaide. Het kan natuurlijk Embedded zijn, maar dat heb ik niet gecontroleerd

gerbie71 @Eloy • 7 augustus 2014 21:48

Als je iets op een kassa zag dat heel erg op XP leek, dan kan het zijn dat je Windows Embedded POSReady 2009 zag. Ziet er hetzelfde uit als XP, maar hiervan verloopt de extended support pas in 2019. (mainstream support hiervan is echter ook al afgelopen)

Armin

Netwerk en systeembeheer

@Eloy • 7 augustus 2014 21:51

Hangt echter mogelijk niet aan het internet ...

jay123 @Verwijderd • 7 augustus 2014 15:04

Wijzig: Foute bron

[Reactie gewijzigd door jay123 op 26 juli 2024 21:40]

Verwijderd 7 augustus 2014 15:11

Het lek werd in de herfst van 2010 al gedicht; dat maakt het des te opmerkelijker dat aanvallers nog steeds proberen om het lek te misbruiken.

Ja dat zal toch wel automatisch gaan? Bovendien updaten veel mensen hun OS niet, dus zo opmerkelijk is vind ik het eigenlijk niet.

Relief2009 @Verwijderd • 7 augustus 2014 15:14

Ik denk dat het vooral gaat om illegale installs. Installeren van updates op illegale xp is lastig im vergelijking met nieuwere versies

[Reactie gewijzigd door Relief2009 op 26 juli 2024 21:40]

CMD-Snake @Relief2009 • 7 augustus 2014 15:51

Aanvankelijk blokkeerde Microsoft alle vormen van Windows Update op illegale exemplaren van Windows XP. Later stonden ze dan wel toe om critical updates te downloaden om de toename van malware wat in te dammen.

suomi @Verwijderd • 7 augustus 2014 15:50

Ja dit is toen destijds geupdate door middel van een Windows update.

Verder eens met bovenstaande punten. Er is nog steeds een enorm deel van de werel dat Windows XP draait.Ook werd er naar mijn ervaringen minder naar updates gekeken en werd er ook minder op gehamert.

klaw 7 augustus 2014 15:03

EDIT: (was bedoelt als reactie op slijkhuis 7 augustus 2014 15:00)
Er zijn bedrijven die nog systemen hebben draaien op xp.
En in het artikel worden 2de wereld landen genoemd daar zullen waarschijnlijk ook nog veel oude pc's worden gebruikt...

[Reactie gewijzigd door klaw op 26 juli 2024 21:40]

mashell @klaw • 7 augustus 2014 15:07

Die misschien geen geldige licentie hebben en daarom die updates sinds 2010 ook helemaal niet hebben.

Iftert @klaw • 7 augustus 2014 15:09

Ook de Nederlandse overheid heeft nog steeds pc`s waar XP op draait en die verbonden zijn met het internet. (en ze hebben betaald voor de verlate updates)

edit : Ze zeggen dat het pogingen waren tot inbreken. Dus het zal niet altijd lukken

[Reactie gewijzigd door Iftert op 26 juli 2024 21:40]