#A Decade After Stuxnet’s Printer Vulnerability ( #Stuxnet 2.0 )
در کنفرانس 2020 تمامی آسیب پذیری های مورد استفاده ویروس Stuxnet و اصطلاحا Patch هایی که در خصوص آسیب پذیری ها زده شده Bypass شده است, ویروس Stuxnet مرحله Initial Access خودش رو بواسطه یک آسیب پذیری در فایل فرمت LNK و توسط پیلود شدن اون در یک دیوایس Flash پیاده سازی و اجرا شده بوده,
فایل فرمت CPL که بصورت یک DLL عمل میکنه و COM Object مربوطه برای Parse کردن این فایل فرمت control.exe هستش, این فایل فرمت رو با استفاده از تابع CPIApplet میتوان Export و اجرا کرد, همچنین بصورت Double Click هم قابلیت Executable داره و بواسطه آسیب پذیری که در LNK وجود داره میشد این فرمت رو اجرا کرد,
اما ویروس فقط از این آسیب پذیری استفاده نمیکرده و از چند آسیب پذیری استفاده میکرده که در تصویر آخر پست ذکر شده, مسئله مهمی که اینجا وجود داره بهره برداری از درایوری با نام Spooler هستش که در خصوص ارتباط با Printer ها استفاده میشده و هکر بواسطه آسیب پذیری که در این درایور کشف کرده بوده میتونسته با دیوایس های PLC تعاملات مستقیم داشته باشه,
SRC
@Unk9vvN
در کنفرانس 2020 تمامی آسیب پذیری های مورد استفاده ویروس Stuxnet و اصطلاحا Patch هایی که در خصوص آسیب پذیری ها زده شده Bypass شده است, ویروس Stuxnet مرحله Initial Access خودش رو بواسطه یک آسیب پذیری در فایل فرمت LNK و توسط پیلود شدن اون در یک دیوایس Flash پیاده سازی و اجرا شده بوده,
فایل فرمت CPL که بصورت یک DLL عمل میکنه و COM Object مربوطه برای Parse کردن این فایل فرمت control.exe هستش, این فایل فرمت رو با استفاده از تابع CPIApplet میتوان Export و اجرا کرد, همچنین بصورت Double Click هم قابلیت Executable داره و بواسطه آسیب پذیری که در LNK وجود داره میشد این فرمت رو اجرا کرد,
اما ویروس فقط از این آسیب پذیری استفاده نمیکرده و از چند آسیب پذیری استفاده میکرده که در تصویر آخر پست ذکر شده, مسئله مهمی که اینجا وجود داره بهره برداری از درایوری با نام Spooler هستش که در خصوص ارتباط با Printer ها استفاده میشده و هکر بواسطه آسیب پذیری که در این درایور کشف کرده بوده میتونسته با دیوایس های PLC تعاملات مستقیم داشته باشه,
SRC
@Unk9vvN