W zeszłym tygodniu eksperci do spraw bezpieczeństwa odkryli groźną usterkę w systemie Windows. Problem dotyczy przetwarzania plików .lnk i jak się okazuje wykorzystywany jest do mocno spersonalizowanych ataków.
Luka występuje w systemie Windows począwszy od edycji XP i związana jest z wyświetlaniem plików LNK. Do wykonania złośliwego kodu może dojść po podłączeniu pamięci USB w momencie gdy system usiłuje odczytać ikonę pliku w formacie LNK. Wiadomo również, że luka może być wykorzystana przez sieć z wykorzystaniem protokołu WebDAV.
Dane firmy Kaspersky wskazują, że złośliwy kod rozprzestrzenia się na razie w wybranych krajach. Odnotowano ataki w Iranie, Indiach, Indonezji, Chinach i Rosji. Szkodniki, które wykorzystują lukę są spersonalizowane i służą do śledzenia systemów zarządzania procesami produkowanych przez firmę Siemens. Co ciekawe, złośliwy kod podpisany został cyfrowo za pomocą ważnych sygnatur producenta sprzętu Realtek. Specjaliści od bezpieczeństwa wciąż nie wiedzą jak cyberprzestępcy uzyskali cyfrowy podpis.
Złośliwe oprogramowanie, które przez wiele programów antywirusowych rozpoznawane jest jako Win32/Stuxnet instaluje również w systemie Windows dwa sterowniki z funkcjami rootkit.
Microsoft potwierdził istnienie luki jednak nie opublikował jeszcze odpowiedniej łatki. Jako doraźne rozwiązanie producent Windowa proponuje wyłączenie wyświetlanie ikon dla plików LNK. Jest to możliwe poprzez edytor Rejestru i modyfikację następującej wartości: HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Aby zabezpieczyć się przed atakami za pośrednictwem WebDAV należy wyłączyć usługę Web Client.
Źródło: heise online, Microsoft