惠普安全博客今日发表文章称,曾被超级工厂病毒利用的0day漏洞:MS-10-046漏洞并未被微软在2010年8月发布的补丁修复。直到今日,微软再次发表MS-15-020补丁,用来修复未修复的漏洞。超级工厂病毒同时利用微软和西门子公司产品的7个最新漏洞进行攻击。
这7个漏洞中,MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5个针对Windows系统,其中MS10-046、MS10-061、MS10-073、MS10-092四个属于0day漏洞。
它最初通过感染USB闪存驱动器传播,然后攻击被感染网络中的其他计算机。一旦进入系统,它将尝试使用默认密码来控制软件。
该蠕虫病毒的复杂性非常罕见,病毒编写者需要对工业生产过程和工业基础设施十分了解。利用Windows的0day漏洞数量也不同寻常,因为Windows零日漏洞的价值,黑客通常不会浪费到让一个蠕虫同时利用四个漏洞。安全研究人员称编写这些代码需要很多人工作几个月,甚至几年。
Windows使用.lnk来定义文件或者目录的快捷方式,可以使用.CPL文件来自定义图标。问题是,在Windows中,图标从模块(或者可执行文件或动态链接库)加载。事实上,.cpl文件实际上是DLL文件。因为攻击者可以定义哪些可执行模块会被加载,攻击者可以利用.LNK文件来执行任意代码。
在2010年8月,微软发布补丁修复MS10-046漏洞。现在证明,这个补丁无效。4年多来,所有的Windows系统任然对超级工厂病毒和当年一样毫无防范能力。
微软对此发表的声明称,因为超级工厂病毒在不断的变化,所以才会导致补丁无效,需要一个新的补丁来修复。
编译自:arstechnica via:HP’s Zero Day Initiative
