Stuxnet continua ativo e bem, obrigado

O Kaspersky Lab descobriu que entre novembro de 2013 e junho de 2014, a falha Windows Shell (CVE-2010-2568), usada pelo exploit Stuxnet para adquirir direitos administrativos de forma remota em uma máquina operada pelo Windows, foi detectada 50 milhões de vezes atacando cerca de 19 milhões de máquinas no Vietnã (42,45%), Índia (11,7%), Indonésia (9,43%), Brasil (5,52%) e Argélia (3,74%).

Segundo o laboratório, essas nações também contabilizam a maior parte dos Windows XP ainda instalados, o que provavelmente explicaria o porquê do alto percentual delas ter sido alvo da vulnerabilidade Stuxnet. 64,19% destas máquinas avaliadas na amostra utilizavam a versão XP.

As outras versões atingidas foram o Windows 7 (27,99%), Windows Server 2008 (3,99%) e Windows Server 2003 (1,58%). Ainda de acordo com os dados analisados, apenas 4,52% das versões XP ainda ativas em máquinas estão nos Estados Unidos.

Uma falha “crítica” de Windows Shell iria permitir que um invasor local ou remoto operar códigos via arquivos .LNK . PIF maliciosos por meio de um ícone impropriamente colocado no Windows Explorer. A Microsoft disponibilizou um reparo para a vulnerabilidade no dia 2 de agosto de 2010. A Stuxnet havia sido flagrada pela primeira vez em junho daquele ano.

Pesquisadores do Kaspersky Lab afirmaram que o problema provavelmente tem a ver com servidores que não estão sendo atualizados ou com a falta de softwares de segurança adequados. Os servidores também poderiam estar infestados por um worm que explora as falhas e espalha a infecção.

“Nós temos visto algumas vulnerabilidades voltarem a 2009/2010, e eu suspeito que nós podemos encontrar exemplos mais antigos. Portanto, eu não ficaria surpreso pelo Stuxnet estar usando a CVE de 2010, isto ainda é viável”, afirmou Barry Sheitman, diretor de estratégia de segurança na Imperva.

Ainda de acordo com o executivo, o problema é que muitos hackers do black hat sabem que vulnerabilidades antigas dão trabalho para serem extintas, então eles abusam delas.