研究者Michael Heerklotzは、HPのZero Day Initiative(ZDI)に個人的に報告しました。これは、4年以上前にMicrosoftによってリリースされたLNKパッチがバイパスされる可能性があることを意味します。
これは過去4年間に、 USBストレージデバイスが接続されたときにWindowsコンピュータに感染する可能性のあるLNKエクスプロイト
[詳しい情報:Windows PCからマルウェアを削除する方法]
Windowsがショートカット(LNK)ファイルのアイコンを表示する方法の脆弱性を悪用した元の攻撃は、イランの原子力施設でウラン濃縮施設を破壊したコンピューターワームStuxnetを拡散させた。米国とイスラエルによって作られたと考えられるStuxnetは2010年6月に発見された。世界中の何万台ものコンピュータに感染してしまいました。 CVE-2010-2568として追跡されたLNKの脆弱性は、Stuxnetが悪用したいくつかのゼロデイまたは以前は知られていなかった欠陥の1つでした。マイクロソフト社は同年8月、MS10-046と呼ばれるセキュリティ情報の一部としてこの欠陥を修正した。この攻撃を防ぐために、マイクロソフトは2010年8月初めにリリースされたMS10-046で明示的なホワイトリストチェックを行った。研究者は火曜日のブログ記事で述べている。 「このパッチが適用されると、理論的には、.CPLファイルのみがリンク用の非標準アイコンをロードするために使用できるはずだったはずです。」
「パッチは失敗しました。 「そして4年以上前から、すべてのWindowsシステムは、Stuxnetが最初の展開に使用したのと全く同じ脆弱性を持っています。」ZDIはHeerklotz氏が発見したLNKパッチバイパスをMicrosoftに報告しました。 CVE-2015-0096)、火曜日はMS15-020の一部として修正しました。
しかし、レジストリエディタを使用してショートカットファイルのアイコンの表示を手動で無効にするというMicrosoftの2010年公開の回避策を適用すると、ZDI研究者は新しい更新プログラムを調べて、
カスペルスキー・ラボのセキュリティ研究者は、Stuxnetの一環としてLNK攻撃が最初に発見されたが、2008年以来、Fannyと呼ばれる別のコンピュータワームがこれを使用していたことを最近発見した。 Kasperskyが式と呼ばれる非常に洗練されたcyberespionageグループによって使用されているマルウェアの兵器庫の数量
2014年8月のKaspersky Labのレポートで明らかになったように、2010年のマイクロソフトのパッチ適用後もオリジナルのCVE-2010-2568脆弱性の悪用は広まっていましたこれは主にSalityワームのようなより一般的な脅威に悪用されたためです。 2010年7月から2014年5月まで、カスペルスキーのラボは、世界中の1900万台以上のコンピュータで、CVE-2010-2568の悪用件数が5,000万件を突破しました。
Stuxnetのような攻撃に対してWindowsのPCは依然として脆弱でした。
Stuxnetのワームによる悪用のMicrosoftパッチは不完全でした研究者らは、2010年にStuxnetで使用されているLNKの悪用に対してWindowsコンピュータを修正し、安全だと思った場合、Hewlett-Packardの研究者には悪いニュースがあります。マイクロソフト社の修正には欠陥がありました。