Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Nowe zagrożenie – niezałatana podatność systemów WINDOWS
21 lipca 2010 | CERT Polska

Lnk vuln.

W systemach z rodziny WINDOWS została znaleziona nowa luka umożliwiająca atakującemu wykonanie złośliwego kodu i w efekcie zainfekowanie komputera ofiary. Luka związana jest z błędem w przetwarzaniu skrótów (plików .lnk) do apletów w panelu sterowania – prawdopodobnie w module odpowiedzialnym za wyświetlanie ikony skrótów. Pierwsze doniesienia pochodzą z białoruskiej firmy VirusBlokAda (www.anti-virus.by). Microsoft potwierdził już informację o występowaniu podatności oraz informuje, że narażone na atak są wszystkie wersje systemu WINDOWS: XP,Vista,7, 2003 Server oraz 2008 Server (http://www.microsoft.com/technet/security/advisory/2286198.mspx)

hedump

Opis podatności:

hedump

Podatność pozwala zmusić komputer ofiary do wykonania złośliwego kodu w momencie przeglądania folderu zawierającego spreparowany plik skrótu (plik .lnk). Pierwsze doniesienia mówią o infekcjach za pomocą nośników USB – ładowanie kodu następowało podczas przeglądania zawartości dysku. W sieci pojawiły się już informacje o możliwości przeprowadzeniu ataku przez sieć – z wykorzystaniem protokołu WebDAV oraz SAMBA.

Atak udało się pomyślnie odtworzyć w środowisku testowym CERT Polska. Po otwarciu folderu zawierającego spreparowany plik .lnk nastąpiło załadowanie wskazanego pliku .dll oraz wykonanie kodu w nim zawartego.

Jak się bronić ?

hedump

Jak na razie jedyną skuteczną metodą jest dezaktywacja mechanizmu wyświetlającego ikony skrótów. Można to zrobić ręcznie przy użyciu edytora rejestru systemowego „regedit”. W edytorze należy otworzyć klucz

[HKEY_CLASSES_ROOTlnkfileshellexIconHandler]

. Aby móc odtworzyć wyłączoną funkcjonalność warto jest wyeksportować zaznaczony klucz do pliku. Następnie należy w prawym panelu zaznaczyć wartość „(Domyślna)”.

hedump

Następnie z menu kontekstowego wybrać „Modyfikuj”. W oknie edycji usunąć dane z pola „Dane wartości”. Po wykonaniu operacji można zamknąć edytor rejestru. Efektem potwierdzającym skuteczne przeprowadzenie operacji będzie niewyświetlanie ikon skrótów.

hedump

 

Dziś (21 lipca) Microsoft również udostępnił opis zawierający tymczasowe rozwiązanie problemu pod adresem: http://support.microsoft.com/kb/2286198

Udostępnij: