W wydanym komunikacie bezpieczeństwa Microsoft potwierdza obecność usterki związanej z wyświetlaniem plików LNK. Może ona posłużyć do infekowania systemów Windows po otwarciu okna z zawartością pendrive'a przez użytkownika. Już przed kilkoma dniami podano, że jeden z robaków wykorzystywał tę lukę przypuszczalnie do działalności szpiegowskiej.
Problem
Problem dotyczy wszystkich serwisowanych wersji Windows, począwszy od XP. Błąd ujawnia się, gdy powłoka systemu usiłuje odczytać ikonę pliku LNK. Podczas tej operacji nie sprawdza ona w dostateczny sposób jednego z parametrów, przez co potencjalny napastnik może wymusić wykonanie własnego kodu. Dojdzie do tego na przykład w sytuacji, gdy użytkownik wyświetli zawartość napędu ze złączem USB w Eksploratorze Windows. Zespół Microsoft Security Response Center ostrzega jednak, że lukę daje się wykorzystać również przez Sieć, mianowicie za pośrednictwem protokołu WebDAV lub udostępnianych zasobów.
Rozwiązanie
Łaty zamykającej lukę jeszcze nie przygotowano. Microsoft nie podaje nawet orientacyjnego terminu jej publikacji. Tym samym użytkownicy zdani są obecnie na prowizoryczne metody ochrony.
Obejście
Zespół Microsoftu zajmujący się bezpieczeństwem zaleca wyłączenie wyświetlania ikon dla plików LNK przez modyfikację następującej wartości Rejestru: HKEYCLASSESROOT\lnkfile\shellex\IconHandler. Uprzednio należy jednak utworzyć kopię zapasową dotychczasowych ustawień. Poza tym można wyłączyć usługę Web Client, aby zapobiec atakom za pośrednictwem WebDAV.
Zagrożenie
Ujawnione do tej pory ataki przeprowadzono w sposób profesjonalny. Napastnicy posłużyli się między innymi rootkitem, który zagnieżdżał się w systemie jako podpisany cyfrowo sterownik Realteka, a następnie inwigilował mechanizmy kontroli procesów (Supervisory Control and Data Acquisition, SCADA). Eksperci od zabezpieczeń podejrzewają, że za jednym z ukierunkowanych ataków szpiegowskich stoją tajne służby.
Pozytywna wiadomość jest taka, że wspomniane ataki były wymierzane w konkretne cele, w związku z czym malware nie zdołał się zbytnio rozprzestrzenić. Należy jednak liczyć się z tym, że po ujawnieniu problemu dotychczasowi napastnicy znajdą naśladowców, którzy na większą skalę będą wykorzystywać lukę w celu rozbudowy sieci botów i rozpowszechniania oprogramowania szpiegującego. Trzeba zatem zadbać o tymczasowe zabezpieczenie własnego systemu Windows. Można oczekiwać, że Microsoft przygotuje niebawem poprawkę.
wydanie internetowe www.heise-online.pl
