Uppdaterad 2010-07-21 16:20 | Publicerad 2010-07-19 15:06 - Sårbarhet, Windows, 0-day, Microsoft

SR10-131 Microsoft - Genvägar kan trigga 0-day

Visning av genvägar i filutforskaren kan leda till exekvering av godtycklig kod.

Problembeskrivning

CVE-referens: CVE-2010-2568

Microsoft rapporterar att en sårbarhet i "Windows Shell"-modulen kan leda till exekvering av godtycklig kod då en riggad genväg (.lnk-fil) processas. Säkerhetsbristen kan triggas på två sätt då en USB-sticka används:

Då USB-stickan sätts in. Förutsätter att "AutoPlay" är aktiverat.
Då innehållet visas i rotkatalogen av filutforskaren. Observera att andra grafiska filhanterare som visar genvägsikoner också är sårbara, exempelvis Total Commander.

Sårbarheten kan även triggas från andra USB-lagringsenheter, samt utdelade filer via SMB eller WebDAV.

För närvarande finns ingen uppdatering som rättar säkerhetsbristen, men följande kan göras för att skydda sig enligt Microsoft:

Blanka värdet för följande registernyckel: "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler". Observera att värdet ska blankas, eftersom nyckeln återskapas med standardvärdet om den raderas.
Inaktivera WebClient-tjänsten
Blockera .lnk- och .pif-filer i brandväggen
Tillåt exekvering av binärer (.exe- och .dll-filer) endast från C-disken (se "Uppdatering 2010-07-20")
Slå av "AutoPlay" (se "How to disable the Autorun functionality in Windows")

Sitic rapporterade förra veckan att denna säkerhetsbrist utnyttjas aktivt i riktade attacker mot SCADA-system. Eftersom exempelkod har publicerats finns risk för ytterligare attacker där denna sårbarhet utnyttjas.

VirusBlokAda rapporterade först sårbarheten.

Uppdatering 2010-07-20

Software Restriction Policies (SRP) kan användas för att skydda mot sårbarheten. Med hjälp av SRP kan en Windows-klient konfigureras så att exekvering av binärer endast får ske från C-disken. Mer information: http://blog.didierstevens.com/2010/07/20/mitigating-lnk-exploitation-with-srp/

Uppdatering 2010-07-21

Symantec har publicerat en detaljerad analys över hur Stuxnet installerar sig: http://www.symantec.com/connect/blogs/w32stuxnet-installation-details
Sårbarheten kan triggas från en länk som är inbäddad i ett dokument enligt F-Secure: http://www.f-secure.com/weblog/archives/00001994.html
Microsoft har släppt ett "Fix It"-program, vilket ändrar i registret så att hanteringen av ikoner till .lnk- och .pif-filer inaktiveras. Programmet fungerar även för organisationer med många Windows-installationer då det går att köra utan användarinteraktion. Tänk på att alla genvägsikoner kommer att visas med samma standardikon om fixen installeras. Detta kan vara rätt störande i exempelvis startmenyn. Fixen ska ses som en temporär lösning i väntan på en uppdatering. Nerladdningssida: http://support.microsoft.com/kb/2286198

Påverkade versioner

Alla Windows-versioner

Mer information och programrättningar

http://www.microsoft.com/technet/security/advisory/2286198.mspx
http://anti-virus.by/en/tempo.shtml
http://www.kb.cert.org/vuls/id/940193
http://secunia.com/advisories/40647/
http://www.securitytracker.com/id?1024216