SR10-131 Microsoft - Genvägar kan trigga 0-day

Nyckelord: Windows 0-day Microsoft

Visning av genvägar i filutforskaren kan leda till exekvering av godtycklig kod.

Publicerad: 2010-07-19 15:06

Problembeskrivning

CVE-referens: CVE-2010-2568

Microsoft rapporterar att en sårbarhet i "Windows Shell"-modulen kan leda till exekvering av godtycklig kod då en riggad genväg (.lnk-fil) processas. Säkerhetsbristen kan triggas på två sätt då en USB-sticka används:

Då USB-stickan sätts in. Förutsätter att "AutoPlay" är aktiverat.
Då innehållet visas i rotkatalogen av filutforskaren. Observera att andra grafiska filhanterare som visar genvägsikoner också är sårbara, exempelvis Total Commander.

Sårbarheten kan även triggas från andra USB-lagringsenheter, samt utdelade filer via SMB eller WebDAV.

För närvarande finns ingen uppdatering som rättar säkerhetsbristen, men följande kan göras för att skydda sig enligt Microsoft:

Blanka värdet för följande registernyckel: "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler". Observera att värdet ska blankas, eftersom nyckeln återskapas med standardvärdet om den raderas.
Inaktivera WebClient-tjänsten
Blockera .lnk- och .pif-filer i brandväggen
Tillåt exekvering av binärer (.exe- och .dll-filer) endast från C-disken (se "Uppdatering 2010-07-20")
Slå av "AutoPlay" (se "How to disable the Autorun functionality in Windows")

Sitic rapporterade förra veckan att denna säkerhetsbrist utnyttjas aktivt i riktade attacker mot SCADA-system. Eftersom exempelkod har publicerats finns risk för ytterligare attacker där denna sårbarhet utnyttjas.

VirusBlokAda rapporterade först sårbarheten.

Uppdatering 2010-07-20

Software Restriction Policies (SRP) kan användas för att skydda mot sårbarheten. Med hjälp av SRP kan en Windows-klient konfigureras så att exekvering av binärer endast får ske från C-disken. Mer information: http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/

Uppdatering 2010-07-21

Symantec har publicerat en detaljerad analys över hur Stuxnet installerar sig: http://www.symantec.com/connect/blogs/w32stuxnet-installation-details
Sårbarheten kan triggas från en länk som är inbäddad i ett dokument enligt F-Secure: http://www.f-secure.com/weblog/archives/00001994.html
Microsoft har släppt ett "Fix It"-program, vilket ändrar i registret så att hanteringen av ikoner till .lnk- och .pif-filer inaktiveras. Programmet fungerar även för organisationer med många Windows-installationer då det går att köra utan användarinteraktion. Tänk på att alla genvägsikoner kommer att visas med samma standardikon om fixen installeras. Detta kan vara rätt störande i exempelvis startmenyn. Fixen ska ses som en temporär lösning i väntan på en uppdatering. Nerladdningssida: http://support.microsoft.com/kb/2286198

Påverkade versioner

Alla Windows-versioner

Mer information och programrättningar