Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Jobba på CERT-SE? Nu söker vi en förvaltningsledare IT inom cybersäkerhet med sista ansökningsdag 17 augusti, samt en administrativ stjärna med it-säkerhetskunskap till vår desk med sista ansökningsdag 23 augusti.

Uppdaterad | Publicerad - Sårbarhet, Windows, 0-day, Microsoft

SR10-131 Microsoft - Genvägar kan trigga 0-day

Visning av genvägar i filutforskaren kan leda till exekvering av godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2010-2568

Microsoft rapporterar att en sårbarhet i "Windows Shell"-modulen kan leda till exekvering av godtycklig kod då en riggad genväg (.lnk-fil) processas. Säkerhetsbristen kan triggas på två sätt då en USB-sticka används:

  • Då USB-stickan sätts in. Förutsätter att "AutoPlay" är aktiverat.
  • Då innehållet visas i rotkatalogen av filutforskaren. Observera att andra grafiska filhanterare som visar genvägsikoner också är sårbara, exempelvis Total Commander.

Sårbarheten kan även triggas från andra USB-lagringsenheter, samt utdelade filer via SMB eller WebDAV.

För närvarande finns ingen uppdatering som rättar säkerhetsbristen, men följande kan göras för att skydda sig enligt Microsoft:

  • Blanka värdet för följande registernyckel: "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler". Observera att värdet ska blankas, eftersom nyckeln återskapas med standardvärdet om den raderas.
  • Inaktivera WebClient-tjänsten
  • Blockera .lnk- och .pif-filer i brandväggen
  • Tillåt exekvering av binärer (.exe- och .dll-filer) endast från C-disken (se "Uppdatering 2010-07-20")
  • Slå av "AutoPlay" (se "How to disable the Autorun functionality in Windows")

Sitic rapporterade förra veckan att denna säkerhetsbrist utnyttjas aktivt i riktade attacker mot SCADA-system. Eftersom exempelkod har publicerats finns risk för ytterligare attacker där denna sårbarhet utnyttjas.

VirusBlokAda rapporterade först sårbarheten.

Uppdatering 2010-07-20

Uppdatering 2010-07-21

  • Symantec har publicerat en detaljerad analys över hur Stuxnet installerar sig: http://www.symantec.com/connect/blogs/w32stuxnet-installation-details
  • Sårbarheten kan triggas från en länk som är inbäddad i ett dokument enligt F-Secure: http://www.f-secure.com/weblog/archives/00001994.html
  • Microsoft har släppt ett "Fix It"-program, vilket ändrar i registret så att hanteringen av ikoner till .lnk- och .pif-filer inaktiveras. Programmet fungerar även för organisationer med många Windows-installationer då det går att köra utan användarinteraktion. Tänk på att alla genvägsikoner kommer att visas med samma standardikon om fixen installeras. Detta kan vara rätt störande i exempelvis startmenyn. Fixen ska ses som en temporär lösning i väntan på en uppdatering. Nerladdningssida: http://support.microsoft.com/kb/2286198

Påverkade versioner

  • Alla Windows-versioner

Mer information och programrättningar

http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://anti-virus.by/en/tempo.shtml
http://www.kb.cert.org/vuls/id/940193
http://secunia.com/advisories/40647/
http://www.securitytracker.com/id?1024216