Od jakiegoś czasu jest wykorzystywany przez przestępców dość paskudny błąd pozwalający na wykonanie automatyczne dowolnego pliku przy przeglądaniu folderu ze spreparowanym przez atakującego linkiem ‘.lnk’. Atak może nastąpić na przykład przez udziały sieciowe lub z pamięci USB flash.
Można przy ataku pominąć UAC (User Access Control-Vista, Windows 7). Można go przeprowadzić nawet jeżeli AutoRun i AutoPlay są wyłączone.
Rodzina malware Stuxnet wykorzystuje ten błąd i używa rootkita, który ukrywa wszelkie objawy ataku, a po przejęciu kontroli nad komputerem pliki, które posłużyły do ataku. Skala ataku nie jest jeszcze duża ale do następnego wtorkowego łatania Microsoftu zostało ponad 3 tygodnie – oczywiście o ile wtedy łata zostanie wypuszczona. Dodatkowo niektóre wersje Windows jak Windows XP SP2 i Windows 2000 pozostaną niezałatane.
[i]Podatność została już zaimplementowana w module Metasploit Framework do ataku na WebDAV.[/i]
PoC prezentujący podatność został już opublikowany. Linki użyte do wykorzystania są prawidłowe, nie wykorzystują przepełnienia bufora itp. Jedynym ograniczeniem atakującego jest to ,że musi znać ścieżke pliku, który chce wykonać. Wykonanie występuje automatycznie podczas przeglądania folderu.
Tymczasowym obejściem jest wyłączenie obrazów ikon dla linków lub wyłączeniem usługi WebClient.
Biorąc pod uwagę ostatnie udostępnienie kodu źródłowego Windows 7 Rosji to najbliższe miesiące mogą obfitować w nieznane wektory ataku na Windows. Że też nasz wywiad nie zabiega o kod źródłowy Windows 7. 🙂
[i]Dobra analiza malware i podatności na blogu:[/i] Chestera Wiśniewskiego – Sophos
[i]Advisory Microsoftu dostępne pod adresem:[/i]
http://www.microsoft.com/technet/security/advisory/2286198.mspx
[i]Aktywny news na stronie SANS:[/i]
http://isc.sans.edu/diary.html?storyid=9181