Luka w systemie Windows występuje w obsłudze plików skrótu .LNK i pozwala na automatyczny rozruch niebezpiecznego kodu w przypadku, gdy przeglądamy pamięć USB z poziomu Eksploratora Windows. Z danych Microsoftu wynika, że na ataki narażone są również zbiory PIF. Wiadomo również, że złośliwy kod może być uruchomiony przez Sieć z wykorzystaniem protokołu WebDAV.

Aktualizacja zostanie opublikowana dla wszystkich aktualnie wspieranych systemów Windows (XP Service Pack 3, XP Professional x64 Edition Service Pack 2, Server 2003 Service Pack 2, Server 2003 x64 Edition Service Pack 2, Vista SP1/SP2, Vista x64 Edition SP1/SP2, Server 2008, 7 i Server 2008 R2).

Żródło: Microsoft

Sophos Windows Shortcut Exploit Protection Tool zapewnia ochronę przed groźną dziurą we wszystkich wersjach systemu Windows. Exploit, znany także pod nazwą CPLINK, umożliwia skrótom (plikom .lnk) uruchomienie na komputerze złośliwego oprogramowania – bez jakiejkolwiek interakcji z użytkownikiem. Darmowe narzędzie Sophos, dostępne do pobrania ze strony http://www.sophos.com/shortcut, przechwytuje pliki skrótów zawierające exploit, ostrzegając przed wykonywalnym kodem. Oznacza to koniec zagrożeń ze strony złośliwego kodu, wykorzystującego lukę .lnk.

“Jak dotąd widzieliśmy robaki Stuxnet i Dulkis, a także trojana Chymin usprawniającego rozprzestrzenianie i infekowanie komputerów. Stuxnet trafił na nagłówki, ponieważ jest wycelowany w systemy Siemens SCADA, które sterują krytyczną infrastrukturą krajową, taką jak elektrownie. Należy jednak pamiętać, że zagrożeni rootkitem są wszyscy użytkownicy,” powiedział Graham Cluley, starszy konsultant ds. technologii w Sophos. “Szczegóły o tym, jak wykorzystać tę lukę bezpieczeństwa są dostępne w sieci, a to oznacza, że hakerzy bez najmniejszych trudności mogą ją wykorzystać do kolejnych ataków.”

Poniżej film prezentujący w jaki sposób darmowe narzędzie Sophos przechwytuje atak:

Źródło: Sophos

Warto zaznaczyć, że szkodliwe oprogramowanie, które jako pierwsze skorzystało z tej luki, wydawało się nastawione w szczególności na systemy SCADA. Są to systemy powszechnie stosowane w zakładach komunalnych do sterowania dostawami m.in. wody i energii elektrycznej, a także w produkcji masowej.

Luka ta sprawia, że użytkownik oglądający zawartość folderu, gdzie znajduje się pewien skrót, jest narażony na infekcję, nawet jeśli nie kliknie tego skrótu dwukrotnie ani nie wyświetli kryjącego się pod nim dokumentu. Niebezpieczeństwo wynika zwłaszcza z funkcji automatycznego uruchamiania urządzeń USB, ponieważ samo włożenie dysku USB powoduje automatyczne wyświetlenie folderów i stwarza zagrożenie dla użytkownika.

Chociaż ta luka będzie najprawdopodobniej wykorzystywana głównie za pośrednictwem dysków wymiennych, to użytkownicy powinni uważać na wszystkie pliki skrótów, których autentyczności nie są pewni. Ta sama luka może być potencjalnie wykorzystana poprzez zainfekowane udziały plików lub nawet przez zwykły szkodliwy plik skompresowany, np. ZIP.

Zamiast umieszczać na dyskach stałych i wymiennych plik AUTORUN.INF i swoją kopię, wirus używany w tym ataku umieszcza na nich plik .LNK, który jest skrótem wskazującym na plik wykonywalny. Umieszczony w ten sposób plik .LNK korzysta ze wspomnianej luki, aby umieścić nową kopię wirusa (WORM_STUXNET.A) w innych systemach. Ponadto ten wirus umieszcza rootkit, który służy mu do ukrycia jego procesów. Dzięki temu pozostaje niezauważony przez użytkownika, a badaczom trudniej jest przeanalizować jego działanie.

Ponieważ wirus korzystający z tej luki w zabezpieczeniach cały czas się rozprzestrzenia, możliwe są dalsze ataki. Biuletyn Microsoft Security Advisory 2286198 zawiera instrukcje, jak dezaktywować wyświetlanie ikon skrótów oraz wyłączyć tymczasowo usługę WebClient, dopóki nie będzie dostępna poprawka.

Użytkownicy infrastruktury Trend Micro Smart Protection Network są od 15 lipca chronieni przed szkodliwym kodem użytym do tego ataku. Inni użytkownicy mogą sprawdzić, czy ich komputer nie jest zainfekowany, i usunąć infekcję, korzystając ze skanera Trend Micro HouseCall.

Luka występuje w systemie Windows począwszy od edycji XP i związana jest z wyświetlaniem plików LNK. Do wykonania złośliwego kodu może dojść po podłączeniu pamięci USB w momencie gdy system usiłuje odczytać ikonę pliku w formacie LNK. Wiadomo również, że luka może być wykorzystana przez sieć z wykorzystaniem protokołu WebDAV.

Dane firmy Kaspersky wskazują, że złośliwy kod rozprzestrzenia się na razie w wybranych krajach. Odnotowano ataki w Iranie, Indiach, Indonezji, Chinach i Rosji. Szkodniki, które wykorzystują lukę są spersonalizowane i służą do śledzenia systemów zarządzania procesami produkowanych przez firmę Siemens. Co ciekawe, złośliwy kod podpisany został cyfrowo za pomocą ważnych sygnatur producenta sprzętu Realtek. Specjaliści od bezpieczeństwa wciąż nie wiedzą jak cyberprzestępcy uzyskali cyfrowy podpis.

Złośliwe oprogramowanie, które przez wiele programów antywirusowych rozpoznawane jest jako Win32/Stuxnet instaluje również w systemie Windows dwa sterowniki z funkcjami rootkit.

Microsoft potwierdził istnienie luki jednak nie opublikował jeszcze odpowiedniej łatki. Jako doraźne rozwiązanie producent Windowa proponuje wyłączenie wyświetlanie ikon dla plików LNK. Jest to możliwe poprzez edytor Rejestru i modyfikację następującej wartości: HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Aby zabezpieczyć się przed atakami za pośrednictwem WebDAV należy wyłączyć usługę Web Client.

Źródło: heise online, Microsoft