:

Szerző: Bizó Dániel

2010. július 29. 16:36

Ingyen védelem a Windows-parancsikon rés ellen

Ingyenes eszközt adott ki a Sophos a Windows foltozatlan, a parancsikonok kezelését érintő biztonsági hibájára. A szoftver képes már telepített vírusölő programok mellett működni, és a hálózati vagy eltávolítható meghajtókat figyeli.

A Sophos által kiadott Windows Shortcut Exploit Protection Tool (WSEPT) azzal az ígérettel érkezik, hogy a nem lokális diszkeken, például USB-kulcsokon érkező rosszindulatú parancsikonokat képes elfogni, mielőtt azokat a Windows feldolgozná és megjelenítené, vagyis mielőtt az operációs rendszer végrehajtaná a támadó kódot. Amint az ismert, a rendszer kompromittálása már azzal megtörténik, ha a Windows grafikus felülete kirajzolja a preparált parancsikont, mivel az a háttérben meghívhat más kódokat, többek közt rootkitként viselkedő trójait telepíthet a rendszerbe, elrejtve magát a későbbi detektálások elől.

A biztonsági cég szerint bár egyelőre ipari vezérlőrendszerek, konkrétan a Siemens SCADA szoftverei elleni támadásokról tudnak, amelyek célja láthatóan az ipari kémkedés, már felbukkantak más típusú kódok is, például a keylogger Chymine, vagy az a minél kiterjedtebb fertőzést célzó Dulkis-A, amely eltávolítható meghajtóra rámásolja magát. Mivel a sebezhetőség már részletesen ismert a hackerek körében, ezért egyre több támadás várható, amely erre épít. A WSEPT ingyenesen letölthető a Sophos oldaláról. Ha rosszindulatú parancsikont érzékel, megállítja, és figyelmezteti a felhasználót a kockázatokra.

Mint arról a HWSW is beszámolt, a Microsoft múlt héten ismerte el, hogy jelenleg támogatott összes Windows operációs rendszere érintett egy olyan biztonsági résben, amelyre egyelőre nincs javítás, és támadások is folynak ellene. A rés a grafikus felhasználói felületet adó Windows Shellben található, annak is a parancsikonokat (LNK kiterjesztésű állományok) kezelő részében. A probléma abból a banális biztonsági mulasztásból származik, hogy a Shell nem ellenőrzi megfelelően a parancsikon paramétereit, így az olyan műveleteket végeztethet a rendszerben, amely indokolatlan és illegitim.

A támadás lefolyásához elegendő, hogy a felhasználó gépe megjelenítse az ikont valamelyik alkalmazásban, például a Windows Explorerben, amivel a rosszindulatúan paraméterezett parancsikon végrehajtja a meghajtón lévő támadó kódot. Tesztek szerint a támadással átjátszhatóak a Windows biztonsági mechanizmusai is, mint az User Access Control. A támadás kivitelezhető távoli fájlmegosztással is, például Windows hálózaton vagy WebDAV-on keresztül. Egyelőre nem tudni, mikorra készülhet el a javítás, a Microsoft addig a WebClient és a parancsikonok kirajzolásának kikapcsolását javasolja biztonságra érzékeny környezetekben, de szervezeteknél a támadás lehetőségét természetesen erősen korlátozza az USB portok és más adatcserére alkalmas perifériák letiltása, és a felhasználói jogosultságok erőteljes korlátozása.

Ezt követően a Siemens megerősítette, hogy legalább egy ügyfeléhez elért egy féreg, amely a Windows frissen közzétett, egyelőre foltozatlan biztonsági rését kihasználva jutott be. Az áldozat egy német gyártó, és a féreg az ipari vezérlőrendszerhez férkőzött hozzá. A biztonsági cégek részéről leginkább Stuxnet kódnévvel jelzett féreg a Siemens SIMATIC WinCC és SIMATIC Siemens STEP 7 ipari vezérlési és felügyeleti, úgynevezett SCADA (supervisory control and data acquisition) rendszerekkel lép kapcsolatba, és csak akkor aktiválódik a fertőzött rendszeren, ha ezek a szoftverek jelen vannak a számítógépen - egyelőre csak olyan variáns ismert, amely Siemens szoftvereket keres. A féreg kapcsolatba lép a SIMATIC szoftverekkel, és lekérdezéseket hajt végre az adatbázisok felé.

a címlapról