Robak Stuxnet to program który jako pierwszy wykorzystywał opisywaną przez nas podatność w skrótach systemu Windows. Był on wycelowany w Simatic Siemens WinCC SCADA, aplikację slużącą do nadzorowania pracy elektrowni chodzącą na systemie Windows.
Oprócz podatności systemu Windows robak wykorzystywał także lukę w WinCC, wynikającą z zakodowania na sztywno hasła, wykorzystywanego przez aplikację do łączenia się z bazą danych. Zmiana hasła w bazie powodowała błąd w działaniu programu. Pomimo, iż hasło po raz pierwszy wyszło na jaw już dwa lata temu, Siemens nie podjął przez ten czas żadnych kroków żeby zlikwidować tą podatność.
Według Siemensa robak zaraził jak dotąd, środowisko testowe jednego nie wymienionego z nazwy klienta firmy i został już wyeliminowany. Nie ma żadnych przypadków infekcji w środowiskach produkcyjnych. Oprócz tego Siemens rozpoczął wśród swoich klientów dystrybucję aplikacji Sysclean, usuwającej wirusa, jednak jej użycie niesie za sobą pewne ryzyko:
Jako że każda elektrownia jest konfigurowana indywidualnie, nie możemy wyeliminować możliwości, że usunięcie wirusa w jakiś sposób wpłynie na jej działanie.
Oprócz tego Siemens wypuścił już poprawkę usuwającą podatność w WinCC, a Microsoft wypuścił aplikację która tymczasowo zabezpiecza przed błędem w Windowsie (kosztem ikon skrótów). Jak widać na przykładzie Siemensa, dla niektórych firm informacja o błędzie bezpieczeństwa to za mało, ktoś musi z niej jeszcze zacząć aktywnie korzystać.
[via TheRegister ]
Maciej Starzycki
