4 שנים אחרי: פירצת יום אפס של סטוקסנט עדיין משמשת האקרים

פירצת CVE-2010-2568 שנחשפה עוד בשנת 2010 יחד עם גילוי תולעת הסטוקסנט עדיין מנוצלת, ארבע שנים לאחר גילויה, באמצעות תוכנות נפוצות המנצלות פירצה זו והמהוות איום על משתמשים: 19,000 משתמשים נתקלו בפירצה במהלך תקופה של שמונה חודשים, החל מנובמבר 2013 ועד ליוני 2014. זהו אחד מהממצאים שעלו במסגרת מחקר "Windows usage and vulnerabilities" שנערך בחודשים האחרונים על ידי מעבדת קספרסקי.

CVE-2010-2568 הוא קוד לפירצה בקיצור דרך בחלונות, המאפשרת לתוקפים לטעון כל DLL ללא ידיעת המשתמש. הפירצה משפיעה על חלונות XP, חלונות ויסטה, חלונות 7, וכן על שרת חלונות 2003 ו- 2008. היא מוכרת במיוחד בגלל ניצולה על ידי סטוקסנט – התולעת שנחשפה ביוני 2010 ונודעה בכך שהביאה להרס פיזי של ציוד העשרת אורניום באירן.

עוד בסתיו 2010, מיקרוסופט פרסמה עדכון אבטחה אשר סוגר את הפירצה. למרות זאת, מערכות הזיהוי של מעבדת קספרסקי רשמו מיליוני אירועים בהם קוד זדוני ניצל פריצה זו. במסגרת תקופת המחקר, בין נובמבר 2013 ליוני 2014, מעל ל- 19 מיליון משתמשים נתקלו באיום זה.

בפילוח על פי מדינה של פעילות קוד זדוני התוקף פירצה זו, עולה כי רוב המשתמשים שנחשפו היו בוויטנאם (42.5%), הודו (11.7%), אינדונזיה (9.43%), ברזיל (5.52%) ואלג'יריה (3.74%).

ראוי לציון כי המחקר מצביע על כך שויטנאם, הודו ואלג'יריה, נמצאות גם ברשימת המדינות בהן זוהו רוב פרצות ה- CVE-2010-2568, והן בין המובילות במספר המשתמשים שעדיין מפעילים חלונות XP. מערכת הפעלה זו היא הראשונה במספר פרצות ה- CVE-2010-2568: כ- 64% מתוך המופעים שנרשמו דווחו מתוך מחשבים המריצים חלונות XP. חלונות 7, המערכת הנפוצה ביותר בעולם, מגיעה רק במקום השני עם 27.99%. אחריה מגיעה מערכת Windows Server 2008 ו- 2003, עם 3.99% ו- 1.58% בהתאמה.

מומחי מעבדת קספרסקי מעוניינים להדגיש כי במקרה ייחודי זה, מספר המופעים הגדול אינו מתורגם ישירות למספר גדול של התקפות. בגלל הדרך המיוחדת בה פירצה זו מנוצלת, לא ניתן להפריד במדויק בין מקרים בהם מוצרי מעבדת קספרסקי מזהים התקפות אמיתיות של קוד זדוני המצליח לנצל את פירצה CVE-2010-2568, לבין מקרים בהם רק מזהים קיצור דרך פרוץ המיוצר באופן אוטומטי על ידי תולעת ספציפית.

מספר המופעים הגדול של CVE-2010-2568 הוא עדות לכך שברמה הבינלאומית ישנם עדיין מחשבים רבים הפתוחים להתקפות מצד קוד זדוני המנצל פירצה זו. מומחי מעבדת קספרסקי מעריכים כי רוב המופעים נובעים משרתים שאינם מתוחזקים כראוי, ללא עדכונים קבועים או פתרון אבטחת מידע. שרתים כאלה עלולים להכיל תולעת המנצלת פירצה זו. כחלק מדרך הפעולה הטבעית שלהן, תוכנות קוד זדוני שכאלה, יוצרות באופן קבוע קיצורי דרך זדוניים בתוך תיקיות כלליות. בכל פעם שמשתמש המוגן על ידי פתרון מעבדת קספרסקי ובעל גישה לתיקיה זו, מקליק על קיצור דרך שכזה, מתבצע זיהוי.

"מקרה מסוג זה יוצר סיכון מתמשך של הדבקות בארגונים בהם שרתים פרוצים אלה עדיין פועלים", אמר ויצ'סלב זקורזבסקי, ראש צוות מחקר פרצות במעבדת קספרסקי. "לכן אנו מעודדים מנהלי IT בארגונים להקדיש תשומת לב רבה יותר לעדכון תוכנות במחשבים ארגוניים ולהפעלת כלים להגנת סייבר".

למידע נוסף: securelist.com.

טכנולוגיות הגנה

כדי למזער את הסיכון של היתקלות בהתקפה הכוללת ניצול פרצות, מומחי מעבדת קספרסקי ממליצים כי משתמשים יעדכנו את התוכנה שלהם באופן קבוע, ימחקו תוכנות שאינן בשימוש, וישתמשו בפתרון אבטחה המצויד בטכנולוגיה לטיפול בפרצות.