惠普安全博客今日發(fā)表文章稱，曾被超級(jí)工廠病毒利用的0day漏洞：MS-10-046漏洞并未被微軟在2010年8月發(fā)布的補(bǔ)丁修復(fù)。直到今日，微軟再次發(fā)表MS-15-020補(bǔ)丁，用來修復(fù)未修復(fù)的漏洞。超級(jí)工廠病毒同時(shí)利用微軟和西門子公司產(chǎn)品的7個(gè)最新漏洞進(jìn)行攻擊。

這7個(gè)漏洞中，MS08-067、MS10-046、MS10-061、MS10-073、MS10-092等5個(gè)針對(duì)Windows系統(tǒng)，其中MS10-046、MS10-061、MS10-073、MS10-092四個(gè)屬于0day漏洞。

[[129130]]

它最初通過感染USB閃存驅(qū)動(dòng)器傳播，然后攻擊被感染網(wǎng)絡(luò)中的其他計(jì)算機(jī)。一旦進(jìn)入系統(tǒng)，它將嘗試使用默認(rèn)密碼來控制軟件。

該蠕蟲病毒的復(fù)雜性非常罕見，病毒編寫者需要對(duì)工業(yè)生產(chǎn)過程和工業(yè)基礎(chǔ)設(shè)施十分了解。利用Windows的0day漏洞數(shù)量也不同尋常，因?yàn)閃indows零日漏洞的價(jià)值，黑客通常不會(huì)浪費(fèi)到讓一個(gè)蠕蟲同時(shí)利用四個(gè)漏洞。安全研究人員稱編寫這些代碼需要很多人工作幾個(gè)月，甚至幾年。

Windows使用.lnk來定義文件或者目錄的快捷方式，可以使用.CPL文件來自定義圖標(biāo)。問題是，在Windows中，圖標(biāo)從模塊(或者可執(zhí)行文件或動(dòng)態(tài)鏈接庫)加載。事實(shí)上，.cpl文件實(shí)際上是DLL文件。因?yàn)楣粽呖梢远x哪些可執(zhí)行模塊會(huì)被加載，攻擊者可以利用.LNK文件來執(zhí)行任意代碼。

在2010年8月，微軟發(fā)布補(bǔ)丁修復(fù)MS10-046漏洞。現(xiàn)在證明，這個(gè)補(bǔ)丁無效。4年多來，所有的Windows系統(tǒng)任然對(duì)超級(jí)工廠病毒和當(dāng)年一樣毫無防范能力。

微軟對(duì)此發(fā)表的聲明稱，因?yàn)槌?jí)工廠病毒在不斷的變化，所以才會(huì)導(dǎo)致補(bǔ)丁無效，需要一個(gè)新的補(bǔ)丁來修復(fù)。

編譯自：arstechnica via：HP’s Zero Day Initiative