Skrót Windows Exploit: Co musisz wiedzieć

Microsoft wydał pod koniec zeszłego tygodnia Security Advisory 2286198, aby zająć się nowo odkrytą luką zerową, którą można wykorzystać po prostu klikając ikonę skrótu. Jednak oryginalne wskazówki są kwestionowane przez badaczy bezpieczeństwa, a kod exploitów jest już dostępny, co jeszcze bardziej pogorszy sytuację.

Zgodnie z zaleceniami firmy Microsoft: "Luka występuje, ponieważ system Windows niepoprawnie analizuje skróty w taki sposób, że złośliwe kod może zostać wykonany po wyświetleniu ikony specjalnie spreparowanego skrótu. " Atak może wykorzystać lukę i złamać system lub uruchomić złośliwy kod bez dodatkowej interwencji użytkownika - nawet omijając UAC i zabezpieczenia systemu Windows 7.

Microsoft wyjaśnia: "Ta luka jest najczęściej wykorzystywana przez dyski wymienne. systemy, które mają wyłączone autoodtwarzanie, klienci musieliby ręcznie przeszukać folder, którego dotyczy problem, aby wykorzystać lukę.) W systemach Windows 7 funkcja autoodtwarzania dla dysków wymiennych jest automatycznie wyłączona. "

[Więcej informacji: Jak usunąć złośliwe oprogramowanie ze swojego komputera z systemem Windows]

Microsoft pracuje - rzekomo z pewnym poczuciem pilności - na łatce, aby zaradzić tej wadzie. Należy jednak pamiętać, że systemy Windows 2000 i Windows XP z dodatkiem SP2 nie są już obsługiwanymi platformami, więc nie należy spodziewać się łaty dla tych systemów operacyjnych firmy Microsoft.

Wskazówki dotyczące obejścia problemu od firmy Microsoft polegają na wyłączeniu wyświetlania ikon dla wszystkich skróty, a także wyłączyć usługę WebClient, aby zapobiec wykorzystaniu przez WebDAV. Problem z tymi obejściami polega na tym, że poważnie upośledzają one systemy operacyjne Windows, a także - w przypadku organizacji, które korzystają z SharePoint - mogą znacząco wpłynąć na produktywność.

Chet Wiśniewski, badacz bezpieczeństwa Sophos, pokazuje na blogu, jak wygląda system Windows jak przy wyłączonym wyświetlaniu ikon. Wiśniewski opisuje alternatywną tymczasową poprawkę "Moja rada jest taka, że ​​jeśli masz kontrolowane wdrożenie systemu Windows, prawdopodobnie będziesz wiedział, gdzie twoi użytkownicy wykonują zatwierdzone oprogramowanie. W tym przypadku możesz po prostu utworzyć obiekt zasad grupy definiujący, gdzie program może działać, i jeśli to nie obejmuje udziałów sieciowych, zapewni to równoważny poziom ochrony, bez uciążliwej zamiany wszystkich ikon na białe arkusze. "

Standardowe środki bezpieczeństwa dotyczące blokowania nieautoryzowanego ruchu za pomocą zapory sieciowej i aktualizacji ochrona antymalware na pulpitach Windows nadal obowiązuje. Środki te zapewniają pewien stopień ochrony, ale obecnie nie wystarczą same w sobie, aby uchronić się przed tym zagrożeniem.

Spodziewam się, że Microsoft uzyska od Microsoft pozapasmową aktualizację, aby rozwiązać ten problem dotyczący bezpieczeństwa w następnej fazie. kilka tygodni przed następną łatką Wtorek.

Możesz śledzić Tony'ego na jego stronie na Facebooku lub skontaktować się z nim e-mailem pod adresem [email protected]. Dodał także tweety jako @Tony_BradleyPCW.