Windowsに0-day発生 ― 2010/07/17 13:13
昨日の時点ではさっぱりわけが分からなかったのでスルーしていたのですが、Windowsのショートカットファイルの処理に脆弱性があって細工された LNK ファイルを Windows Explorer 上などで表示した場合に、任意のコードを自動的に実行してしまう可能性
があり、この脆弱性を利用した攻撃も確認されているとのこと。
対策方法はありませんがUSBストレージを介しているということですので、AutoRun を無効にすることで、わずかですが軽減されるとのこと(エクスプローラーで見てしまったら意味ないよね)
エフセキュアブログ : スパイ攻撃がLNKショートカットファイルを使用エフセキュアブログ : LNKエクスプロイトに関するその後の分析
我々は同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1KBだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリとして検出される。
(中略)
標的にされているSCADAシステムに関して、Siemens SIMATIC WinCCデータベースは、エンドユーザが変更しないように言われるハードコードされた管理ユーザー名とパスワードの組合せを使用しているようだ。
ターゲットが一般ユーザでないので、現時点ではそれほど心配しなくともよいでしょうが、こういうのはすぐ他でも利用されますので注意するにこしたことはないと思います。
たとえば、USBストレージはエクスプローラーで見ないとか……アイコン表示などしないテキストベースのファイラを使えばとりあえず回避できそうな気がします。
もっと詳しい情報は
2010.07.17 土曜日 - Underforge of Lack
[EMERGENCY] Windows ZERO-DAY - Underforge of Lack
2010.07.20 火曜日 - Underforge of Lack
をご覧ください。
-追記-
マイクロソフト セキュリティ アドバイザリ (2286198): Windows シェルの脆弱性により、リモートでコードが実行される
回避策のHKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
が見つからない(多分カスタマイズ中に間違って消したのだろう)……orz
Fixitを待つかな。↓でた!
Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution
MicrosoftFixit50486.msiでレジストリも治った。^^;
でもタスクバーがこれじゃ使い物にならねぇ。orz
未解決のWindowsの脆弱性を突く攻撃コード出現、SANSが警戒レベルを引き上げ
脆弱性は、Microsoftがサポートを打ち切ったWindows 2000とWindows XP SP2も含め、Windowsの全バージョンに影響が及ぶとされる。Microsoftは「調査を完了した時点で顧客を守るための措置を取る」と説明しているが、Windows 2000とWindows XP SP2向けのパッチが公開される見通しはない。
Windows Shellのゼロデイ脆弱性の概念実証コードが公開 - Computerworld.jp
スティーブンス氏はブログで、.lnkファイルなどの実行可能ファイルがUSBまたはCDドライブから実行されるのを防げるように、Ariadを設定する方法を説明している。さらに、Ariadのオンライン・ドキュメントを読むようユーザーに呼びかけ、Ariadの実行には危険が伴う可能性があるとも警告している。「Ariadはミニフィルタ・ドライブであり、Windowsカーネルの内部で動作する。だが、カーネル・ソフトウェアのバグは重大な結果を招きうる。すなわち、死のブルースクリーンだ。したがって、このソフトウェアは、まずテスト・マシンで試していただきたい」
最近のコメント