Zero day chyba ve všech verzích Windows zneužitelná přes USB

21. 7. 2010

Sdílet

Zneužití lze provést pomocí souborů zástupců (lnk). Zranitelnost je právě v jejich zpracování. V případě, že uživatel otevře složku obsahující tento soubor, může dojít k automatickému spuštění malwaru v této složce.

Řada bezpečnostních firem i organizací varovala před rozsáhlou vlnou útoků proti neopravené chybě ve všech verzích Windows. Microsoft již existenci zranitelnosti připustil.

Organizace Internet Storm Center nyní například hodnotí celosvětové riziko známkou, kterou naposledy použila před rokem. Kód zneužití této chyby ve formě proof-of-concept je volně k dispozici na Internetu. Problém navíc spadá do kategorie těch, které není lehké obejít (např. úpravou nastavení) a v podstatě nezbývá než čekat, až Microsoft vydá oficiální záplaty.

Zneužití lze provést pomocí souborů zástupců (lnk). Zranitelnost je právě v jejich zpracování. V případě, že uživatel otevře složku obsahující tento soubor, může dojít k automatickému spuštění malwaru v této složce. Zneužití se nabízí především přes média USB flash nebo přes síťové disky. V tomto případě se v řadě nastavení na složku „podívá“ samotný Průzkumník Windows, což už samo o sobě způsobí spuštění programu. Jde tedy vlastně o obdobu zranitelností přes funkci Autorun/Autoplay u CD/DVD, útok ovšem funguje i v případě, že jsou možnosti automatického spouštění zakázány. Po vložení USB s malwarem už nepomůžou ani další bezpečnostní mechanismy Windows typu UAC, zranitelnost je přímo v kernelu a kód zneužití může mít charakter rootkitu.

Naštěstí chybu zřejmě nelze zneužít způsobem drive-by download při návštěvě podvodného webu, alespoň při použití novějších verzí prohlížečů.

Chyba je obsažena ve všech operačních systémech od Windows 2000 a Windows XP SP2 (jejichž podpora právě končí) až po Windows 7, včetně beta verze Windows 7 SP1.

Pomocí této zranitelnosti se již provádějí útoky na systémy SCADA, tj. např. na firmy podnikající v oblasti průmyslu, energetiky a utilit (Nový červ napadá řídicí průmyslové systémy v USA a Íránu). Očekává se, že i nadále budou terčem útoku proti této chybě především firmy, zatímco koncoví uživatelé se mohou cítit relativně v bezpečí.

Microsoft prozatím neupřesnil, kdy hodlá uvolnit opravu. Prozatím se lze chránit jen krajně nepohodlně – zrušit zobrazování souborů LNK (se všemi důsledky, které z toho vyplynou) a vypnout službu WebClient. Oboje vyžaduje zásah do registrů Windows, přičemž ještě ani není k dispozici nějaký nástroj, který by potřebné úpravy provedl automaticky.

ICTS24

Protože podpora pro Windows XP SP2 skončila, pro tento systém již záplata vydána téměř jistě nebude. Což může vhledem k rozšíření této konfigurace způsobit rozsáhlé bezpečnostní incidenty (v menší míře platí totéž pro Windows 2000)...