Wczoraj (2 sierpnia) Microsoft wypuścił poprawkę łatającą ostatnią podatność w systemach Windows (opisaną w poprzedniej wiadomości: http://www.cert.pl/news/2590).

Przypomnijmy – podatność związana jest z mechanizmem wyświetlania ikon do skrótów – konkretnie skrótów do apletów panelu sterowania. Umożliwia ona uruchomienie złośliwego kodu na atakowanym komputerze – konieczne jednak jest zmuszenie ofiary do wyświetlenia spreparowanego pliku .lnk (plik skrótu). Błąd najprawdopodobniej znajduje się w funkcjach interfejsu IExtractIcon odpowiedzialnych za lokalizowanie i ładowanie ikon. Implementacja tego mechanizmu znajduje się w pliku shell32.dll. Ryzyko infekcji podnosi fakt, że skróty mogą być również osadzane w dokumentach MS Office – aby zostać ofiarą ataku wystarczy otworzyć dokument zawierający złośliwy kod.

Zalecamy niezwłoczne zainstalowanie aktualizacji !

Łatki dostępne są na wszystkie wspierane wersje systemu Windows. Pliki do pobrania oraz opis znajduje się na stronie: http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx. Łatka powinna również być dostępna w ramach “Automatycznych Aktualizacji” systemów Windows.

W systemach z rodziny WINDOWS została znaleziona nowa luka umożliwiająca atakującemu wykonanie złośliwego kodu i w efekcie zainfekowanie komputera ofiary. Luka związana jest z błędem w przetwarzaniu skrótów (plików .lnk) do apletów w panelu sterowania – prawdopodobnie w module odpowiedzialnym za wyświetlanie ikony skrótów. Pierwsze doniesienia pochodzą z białoruskiej firmy VirusBlokAda (www.anti-virus.by). Microsoft potwierdził już informację o występowaniu podatności oraz informuje, że narażone na atak są wszystkie wersje systemu WINDOWS: XP,Vista,7, 2003 Server oraz 2008 Server (http://www.microsoft.com/technet/security/advisory/2286198.mspx)

Opis podatności:

Podatność pozwala zmusić komputer ofiary do wykonania złośliwego kodu w momencie przeglądania folderu zawierającego spreparowany plik skrótu (plik .lnk). Pierwsze doniesienia mówią o infekcjach za pomocą nośników USB – ładowanie kodu następowało podczas przeglądania zawartości dysku. W sieci pojawiły się już informacje o możliwości przeprowadzeniu ataku przez sieć – z wykorzystaniem protokołu WebDAV oraz SAMBA.

Atak udało się pomyślnie odtworzyć w środowisku testowym CERT Polska. Po otwarciu folderu zawierającego spreparowany plik .lnk nastąpiło załadowanie wskazanego pliku .dll oraz wykonanie kodu w nim zawartego.

Jak się bronić ?

Jak na razie jedyną skuteczną metodą jest dezaktywacja mechanizmu wyświetlającego ikony skrótów. Można to zrobić ręcznie przy użyciu edytora rejestru systemowego „regedit”. W edytorze należy otworzyć klucz

. Aby móc odtworzyć wyłączoną funkcjonalność warto jest wyeksportować zaznaczony klucz do pliku. Następnie należy w prawym panelu zaznaczyć wartość „(Domyślna)”.

Następnie z menu kontekstowego wybrać „Modyfikuj”. W oknie edycji usunąć dane z pola „Dane wartości”. Po wykonaniu operacji można zamknąć edytor rejestru. Efektem potwierdzającym skuteczne przeprowadzenie operacji będzie niewyświetlanie ikon skrótów.

Dziś (21 lipca) Microsoft również udostępnił opis zawierający tymczasowe rozwiązanie problemu pod adresem: http://support.microsoft.com/kb/2286198

W dniach 13-18 czerwca odbyła się 22. doroczna konferencja FIRST. Jest to najważniejsze w roku wydarzenie w tym ogólnoświatowym forum zespołów reagujących, zrzeszającym w tej chwili ponad 220 zespołów z sześciu kontynentów, od uczelnianych i akademickich, przez bankowe i należące do wielkich korporacji po rządowe. Tegoroczna konferencja miała miejsce w Miami na Florydzie i zgromadziła przeszło 450 uczestników. CERT Polska jest jednym z aktywnych członków forum. W tym roku oprócz trzyosobowej reprezentacji wśród uczestników miał także znaczący wkład merytoryczny w program konferencji. Byliśmy autorami lub współautorami aż czterech wygłoszonych prezentacji:

• R&D projects launched in response to the dynamic evolution of Internet security threats – CERT view wygłoszona przez Krzysztofa Silickiego i Piotra Kijewskiego (współautor: Mirosław Maj)
• Cooperation and self-regulation of Polish ISPs in combating online crime – wygłoszona przez Przemysława Jaroszewskiego
• FISHA – A Framework for Information Sharing and Alerting in Europe – współautorstwa Piotra Kijewskiego i Katarzyny Gorzelak
• WOMBAT API: handling incidents by querying a world-wide network of advanced honeypots wygłoszona przez Piotra Kijewskiego (współautor: Adam Kozakiewicz)

Znaczący udział wśród pozostałych prezentacji miały tematy związane z bezpieczeństwem i prywatnością w systemach cloud computing. Pojawiły się także interesujące prezentacje dotyczące ataków dedykowanych oraz mnóstwo interesujących przykładów rozwiązań organizacyjnych i technicznych związanych z bezpieczeństwem i reagowaniem na incydenty. Bardzo ciekawy program sprawiał, że często trudno było dokonać wyboru między trzema ścieżkami tematycznymi.

Pełny program konferencji znaleźć można na stronach konferencji.

Projekt WOMBAT wraz z demonstracją API został także zaprezentowany na towarzyszącym konferencji FIRST spotkaniu zespołów narodowych. Spotkania takie od kilku lat organizowane są przez CERT/CC bezpośrednio po konferencji FIRST i są doskonałą okazją do wymiany kontaktów oraz zapoznania się z wyzwaniami, które stoją przed zespołami CERT działającymi na szczeblu narodowym.