Luka LNK w Windows: sytuacja zaostrza się
Podczas gdy Microsoft pracuje nad patchem, sytuacja staje cię coraz bardziej poważna: w związku z krytyczną luką bezpieczeństwa LNK w większości wersji Windows ośrodek Internet Storm Center (ISC) podniósł stopień zagrożenia z zielonego na żółty.
Podczas gdy Microsoft pracuje nad patchem, sytuacja staje cię coraz bardziej poważna: w związku z krytyczną luką bezpieczeństwa LNK w większości wersji Windows ośrodek Internet Storm Center (ISC) podniósł stopień zagrożenia z zielonego na żółty.
Tym samym ISC chce wyjść naprzeciw spodziewanej fali ataków i zwrócić uwagę użytkowników na grożące im niebezpieczeństwo. Jako że framework bezpieczeństwa Metasploit zawiera już stosowny moduł ataku, który wykorzystuje tę lukę, używając interfejsu WebDAV, w zasadzie każdy może zbudować własny exploit.
Obecnie jedynym sposobem ochrony jest modyfikacja Rejestru, która blokuje w Windows wyświetlanie ikonki odsyłacza. Jednak w ten sposób nawigacja w Menu Start, na Pulpicie i w Pasku zadań przypomina chodzenie po omacku. Poza tym należy także wyłączyć usługę WebClient, w wyniku czego nie będzie można korzystać z udziałów udostępnionych za pomocą WebDAV.
Najniebezpieczniejszym "szkodnikiem", który obecnie uzyskuje dostęp do systemu przez lukę LNK, jest Win32/Stuxnet. Wygląda na to, że ten program służy do szpiegostwa przemysłowego; jest on wymierzony w systemy kierowania procesami SCADA WinCC firmy Siemens, stosowane np. w elektrowniach. W skrypcie "szkodnika" są nawet zapisane ustawione na stałe dane dostępu, za pomocą których trojan zapewnia sobie dostęp do microsoftowej bazy danych SQL systemu WinCC. Siemens w wypowiedzi dla heise Security potwierdził, że "wewnątrzsystemowe uwierzytelnianie WinCC w bazie danych SQL Microsoftu […] odbywa się z użyciem zapisanych na stałe danych dostępowych". Informacji tych nie można jednak zmienić, ponieważ wtedy komunikacja między WinCC a bazą przestanie działać. Firma twierdzi, że obecnie sprawdzane są możliwości "zaostrzenia weryfikacji".
Jeśli ktoś do tej pory był przekonany, że podpisane cyfrowo pliki są zasadniczo godne zaufania, to powinien zastanowić się jeszcze raz. Profesjonalny program szpicel jest podpisany za pomocą certyfikatu firmy Realtek. Tymczasem VeriSign w odpowiedzi na zapytanie heise Security potwierdził, że certyfikat faktycznie należy do wspomnianego podmiotu. Jednak VeriSign już go wycofał, w związku z czym sprawdzenie sygnatury powinno wywoływać pojawienie się komunikatu ostrzegawczego. Niestety, producent antywirusów Eset zaobserwował już następcę "szkodnika": spokrewniony trojan młodszej daty jest podpisany cyfrowo z użyciem ważnego jeszcze certyfikatu producenta chipów JMicron Technology.
Na razie nie wiadomo jeszcze, w jaki sposób autorzy wirusa uzyskali dostęp do tajnych kluczy. Możliwe, że doszło do przekupienia zewnętrznych producentów oprogramowania albo też ci ostatni nieświadomie podpisali szkodliwy kod. Costin Raiu z firmy Kaspersky przypuszcza, że firma mogła się stać ofiarą trojana, takiego jak ZeuS, który kradnie również cyfrowe certyfikaty. Zastanawiający jest fakt, że JMicron prowadzi biuro w Hsinchu Science Park na Tajwanie, gdzie powierzchnię biurową wynajmuje także Realtek.
wydanie internetowe www.heise-online.pl
