"Trójai terjed az új Windows sebezhetőségen keresztül"

 ( trey | 2010. július 19., hétfő - 10:32 )

Biztonsági szakemberek arra hívták fel a figyelmet az elmúlt napokban, hogy egy új, eddig ismeretlen, a Windows operációs rendszerek gyakorlatilag minden verzióját érintő sebezhetőséget kihasználó trójai terjed. A fehérorosz VirusBlokAda antivírus cég elemzése szerint a trójai - ami jelenleg USB flash meghajtókon keresztül propagálja magát - egy teljesen felpatchelt Windows 7-et (32 bit) képes úgy megfertőzni az USB flash meghajtó csatlakoztatásakor, hogy nem használja a megszokott autorun eszközöket (pl. autorun.inf). Az autorun eszközök helyett a malware egy, a Windows parancsikonokat feldolgozó kódjában levő sebezhetőséget használ ki.

Amint felhasználó a fertőzött USB meghajtót megnyitja az Windows Explorer-ben vagy egyéb más fájlkezelőben, amely képes ikonok megjelenítésére (például Total Commander), a rosszindulatú kód automatikusan végrehajtódik minden további felhasználói interakció nélkül.

Másik screnario lehet az, hogy a támadó egy hálózati megosztást készít (vagy WebDAV megosztást), amelyet megfelelően preparál. Amint az áldozat kitallózza a megosztást, a Windows megpróbálja betölteni a parancsikon fájl ikonját és ezáltal a sebezhetőség kihasználásán keresztül a rosszindulatú bináris meghívódhat.

A Microsoft már tud a problémáról és biztonsági figyelmeztetőt adott ki róla. A hiba a Windows Shell-t érinti. A Microsoft figyelmeztetője szerint a sebezhetőség sikeres kihasználása akár távoli kódfuttatást is lehetővé tehet.

Részlet a Microsoft Security Advisory (2286198)-ból:

Idézet:
The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the user clicks the displayed icon of a specially crafted shortcut. This vulnerability is most likely to be exploited through removable drives. For systems that have AutoPlay disabled, customers would need to manually browse to the root folder of the removable disk in order for the vulnerability to be exploited. For Windows 7 systems, AutoPlay functionality for removable disks is automatically disabled.

A Microsoft által megadott érintett rendszerek a Windows XP (32 és 64 bit), Windows Server 2003 (32 és 64 bit), Windows Vista (32 és 64 bit), Windows 7 (32 és 64 bit), Windows 2008 Server (32 és 64 bit). Az x86 és x64 architektúrák mellett az Itanium verziók is érintettek.

A nemrég kiadott Windows 7 SP1 beta és a Windows Server 2008 R2 SP1 beta is érintett.

Javítás egyelőre nincs, a Microsoft az advisory-ban felsorolt workaround-ok és antivírus termékek használatát javasolja. A vállalat szerint korlátozott mértékben használják ki a sebezhetőséget jelenleg. A támadásokért a Stuxnet malware család tehető felelőssé.

A malware érdekessége, hogy két, rootkit funkciókkal ellátott driver-t telepít (mrxcls.sys, mrxnet.sys). A driver-ek a Realtek Semiconductor Corp érvényes aláírásával rendelkeztek kezdetekben. Ez arra utalhat, hogy a malware szerzője valahogyan hozzáfért a Realtek privát kulcsához. A hírek szerint a Verisign azonban a hétvégén visszavonta a Realtek certificate-jét.

Részletek:
Trojan spreads via new Windows hole
Rootkit.TmpHider
Security Advisory 2286198 Released
Microsoft Security Advisory (2286198) - Vulnerability in Windows Shell Could Allow Remote Code Execution
The Stuxnet Sting

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

kiváncsi vagyok meddig fogtartani a lyuk betömése
ha tippelnem kéne 1,5-2hónap

És ezt például milyen módon matekoztad ki?

es te mit tudsz felhozni a logikaja ellen?

<-----------
Arra van Buda!

Archlinux user with KDE!
Gentoo-s daily routine: reggeli, ebuild, vacsora

Semmit, mivel magában a hozzászólásban már nem maradt nyoma. Éppen ezért kérdeztem meg.

nem matek,TIPP

Tipp != matek. Olvasni kellene előbb...

- waiter -

Most miért bántjátok ? Write only szegénykém :)

Súlyosbítja a helyzetet, hogy folyamatirányító rendszereket, (Siemens által fejlesztett) WinCC-t és egyéb SCADA rendszereket is támadják egyes variánsok. Link itt.

Rosszabbítja a helyzetet az, hogy a vírus valós digitális aláírással (a Realtek-ével) rendelkezik.

Mar elore latom, hogy mikor legkozelebb megyek terepre, az osszes WinCC-s gep fertozott lesz. Mert ugye a WinCC-s gep nincs netre kotve, igy hiaba tesszuk fel ra az antivirust, az nem tud frissiteni, a helyi IT-s meg hat igazabol nem gondolja, hogy ez is a teendoi koze tartozna...


Sic Transit Gloria Mundi

1) Nem használsz pendrive-ot a folyamatirányító számítógépeken. Mentéseket a mérnöki gépen készíted újraírható CD/DVD-re.

2) Minden egyes alkalommal, mielőtt terepre mész, a legfrissebb víruskeregetővel leellenőrized a pennádat. Egyéb célra és egyéb gépbe nem teszed be egyszer sem az USB kulcsodat.

Readonly kapcsoló nincs már a pendriveokon?
--
A windóz azért szar, mert szar!

Nincs, mert béna user véletlenül bekapcsolta, aztán "szaragépmer'nemlehetmenteniaszemetemet".
--
Fight / For The Freedom / Fighting With Steel

jó, tehát nem autórun, de valahogy elindul, és fel akar települni. UAC nem fogja meg, vgy azt is kikerüli, vagy hogy?--
Dropbox tárhely igénylés: https://www.dropbox.com/referrals/NTMwMDYwODE5

igen, a vírusok települni szoktak, ezért nézegesd a vezérlőpulton a telepített programok között néha látsz-e az office mellett olyat hogy vírus, és akkor megnyomhatod az uninstall gombot

de genya vagy :)

--
"Windows... az mi?"

akkor mire való az UAC?
a települs meg csak szóhasználat
--
Dropbox tárhely igénylés: https://www.dropbox.com/referrals/NTMwMDYwODE5

(a szóhasználatot értettem, azért válaszoltam "finoman" :))

még szerencse :D
--
Dropbox tárhely igénylés: https://www.dropbox.com/referrals/NTMwMDYwODE5

a uac arra való, hogy szabadon garázdálkodó home userek kapásból kikapcsolják.

A Microsoft szerint:

Idézet:
Exploit:Win32/CplLnk.A is a generic detection for the vulnerability that is currently exploited by the Win32/Stuxnet family.

When a user browses a folder that contains the malicious shortcut using an application that displays shortcut icons, the malware runs instead. An example of an application that displays shortcut icons is Windows Explorer. No further user interaction is required, in most cases.

Successful exploitation results in the malware running with the privileges of the logged-on user.

--
trey @ gépház

Tök mind1.. Onnan, hogy bejut valami azt csinál amit akar.. Az, hogy csak user szintű jogai vannak első lépésben még nem jelenti azt, hogy ne tudna backdoort nyitni, amivel mondjuk később egy másik exploit segítségével át lehetne venni a teljes gép fölötti irányítást. UAC,DEP és hasonló vicces dolgok ellen pedig már régóta vannak elég jól dokumentált megoldások..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

A cikkben az volt, hogy "rootkit funkciókkal ellátott driver-t telepít".
Ha sima userként használod a windows vista, vagy windows 7-et akkor hogy tudna drivert telepíteni?
Ha pedig rendszergazda szintű userrel használod, és még ha ki is kapcsolja az UAC-t, akkor is újra kell indítania a gépet (szokás szerint), hogy életbe lépjen a kikapcsolás. Szóval így már nehezebb dolga van.

Szerintem az a baj, hogy mindenki a windows telepítő által alapból létrehozott rendszergazdai userrel nyomul, sokszor jelszó nélküli automatikus beléptetéssel. Így aztán minden vírus meg tud szívatni.
Én sokáig úgy használtam a windows xp-t, hogy korlátozott userrel csináltam mindent, ha valamit telepíteni kellett, akkor "futtatás másként..." funkciót használtam. Nem volt se tűzfalam, se vírusirtóm mégse nem volt gondom vele. Persze lehet mondani, hogy elkerültem azokat a vírusokat, amiket mások nem.

Még mielőtt azt hinné valaki, hogy nagy windows rajongó vagyok elárulom, hogy nem így van. Csak azt akartam leírni, hogy szerintem a legújabb windows azért nem olyan szar, amilyennek sokan megítélik egy-egy ilyen hiba kapcsán.

-=ElveteMedve=-

mindenki a windows telepítő által alapból létrehozott rendszergazdai userrel nyomul

ilyen vista óta nincs

Uhu, csak olyan sima user, akivel ha beléptél és barmi program update van, elég gyorsan nyomkorászni az igen gombot, nem kéri az admin jelszót.
--
http://opensolaris.org/os/project/indiana/
http://www.opera.com/browser/

De van. Csak egy biztonsági "réteget" beépítettek, ami a szerény tapasztalataim szerint annyit teszt, hogy amíg xp alatt egy program gond nélkül telepített a háttérben egy drivert, a vista/7 rendszerekben egy felugró ablak figyelmeztet, hogy xy program akar rendszergazdai jogot igénylő valamit (azt nem árulja el mit) csinálni és megengeded-e neki, vagy nem. Ahogy ezt vOrOn is írta.

-=ElveteMedve=-

Nem kell újraindítani sem már (talán Vista-ban sem kellett). VGA drivert is cserélgethetsz alatta ha nagyon akarsz.

elég ötletes. mondhatni túl ötletes.
ezentúl több lesz a neten a 'véletlenül' nyitva hagyott smb portok száma?

Tetszik. Honnan lehet letolteni?

--
-Tolthetek egy kis teat?
-Tolthetsz, de akkor seedeld is!

Parancsolj kérlek

Bontsd ki a C: alá, aztán nevezd át az .lnk_-t .lnk-ra ( Akinek nem lenne annyi esze annak felhívnám a figyelmét, hogy hacsak nem vadvízi evező, akkor ezt egy virtuális gép alatt kövesse el )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Koszi.

--
-Tolthetek egy kis teat?
-Tolthetsz, de akkor seedeld is!

Minek kellene történnie, mert nálam semmi sem történik? Ha "elinditom" az lnk-t akkor se.

Perpill nemtom, mert nem vok Win virtual gép előtt, de ha hazaérek ránézek. Elvileg az lnk file-nak a c:\dll.dll file-t ( ami a rar-ban van ) kéne meghívnia. Azt, hogy a dll.dll mit csinál szintén nem tudom jelenleg..
szerk: esetleg próbáld meg majd, hogy a C:\dll.dll-t a cmd/calc.exe-vel felülírod, hátha akkor látványosabb lesz az eredmény, bár nem tudom, hogy működik e, de tippnek jó :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

tippnek jó, de igy se történik semmi :)
Most már kikapcsoltam minden védelmet, de igy se. Az lnk leirásában valami francia hablaty van, gugli szerint a windows update-ről szól, lehet az kavar be, hogy magyar xp-n próbálom.

http://www.ivanlef0u.tuxfamily.org/?p=411

"As soon as the Windows shell attempts to load the icon from the specially crafted .lnk file, the exploit sends the message "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" to the Windows debugger to demonstrate the success of the exploit."

--
trey @ gépház

Köszi, ez már nyert, dbgview-ban szépen látszik :)

explorer sem kell hozzá, egy tc-s könyvtárolvasás is elég.

Istenem, aki ilyen programokat írogat, úgy leküldeném követ fejteni a bányába, 20 évre.

+1

én kipróbáltam, először elkezdtek lepotyogni a képernyőről a betűk, majd egy popup kiírta NAAGY piros betűkkel: "Gratulálunk! Ön sikeresen el tudott indítani egy vírust! Kattintson a nyereményéhez!"

Akkó én lehet háromszor kattintottam. :(

Ezek szerint ez veszélyesebb, mint az albán vírus. Ez biztos valami korszerú svájci vírus lehet :)

+1
--
Fight / For The Freedom / Fighting With Steel

na ezért kéne nekem egy írásvédett pendrive szerviz használatra.

Szigszalag a csatlakozóra. ;)

+1!

Ezt a featuret nagyon hiányolom! Nekem még van egy régebbi pendriveom, amin egy kis kapcsolóval kapcsolható a hardware szintű(!) írásvédelem, tehát ilyen szempontból biztosítható, hogy nem kap el bacit.
Nem tudom a maiakról miért hagyják le!

(Hajajj mennyi autorun inf-es dolgot kellett már újabb pendriveokról legyaknom amikor elmentem pdf-eket nyomtattatni, vagy csak odaadtam valakinek hogy másoljon le dolgokat.)

---------------
Értelmezési hiba! Elolvassa újra? I/N

Idézet:
(Hajajj mennyi autorun inf-es dolgot kellett már újabb pendriveokról legyaknom)

(Hajajj, pedig hanyszor leirtam mar :-))

Ez alapjan lehet csinalni egy szep, letorolhetetlen, felulirhatatlan autorun.inf-et, aztan probalkozhatnak a virusok, amennyit jolesik.

Kösz, ezt nem ismertem!

Tegyük hozzá, hogy azért egy hardware alapú read-only kapcsoló ennél "többet tud" - lásd a fenti kukacnak se lenne esélye.

---------------
Értelmezési hiba! Elolvassa újra? I/N

Szerintem nem tud tobbet, max mas ellen ved. Read-only kapcsoloval nem fogsz tudni irni a pendrivera, ez jo amikor ismerten fertozott gepbe dugod bele, de nem jo amikor olyanba amirol azt hiszed, hogy nem fertozott, mert akkor ugyse kapcsolod be. Ebben a trukkos autorun-ban meg az a jo, hogy csak ez az 1 file lesz "serthetetlen" es minden mast tudsz dolgozni a stick-el.
--
TH

http://www.pandasecurity.com/homeusers/downloads/usbvaccine/ < Ezt senki nem használja rajtam kívül? :(

elképzelek egy security feliratú pólóban egy pandát... hát rettentő félelmetes csak ne tüsszentsek mellette mert összerakja magát :)

És ezt mégis hogyan lehet letölteni? Annyit sikerült elérnem hogy valami hírlevélre felraktak de ezen kívűl semmi.

Adjak direkt linket?

"Ez alapjan lehet csinalni egy szep, letorolhetetlen, felulirhatatlan autorun.inf-et, aztan probalkozhatnak a virusok, amennyit jolesik.
Ez csak FAT32-vel működik. Nincs valami okosságosság NTFS-re is?

attrib parancs?
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Nekem van irasvedett pendrive-om, es barki masnak is lehet:

1-2 ezer forint az a fajta memoriakartyaolvaso, ami kivulrol pendrive-nak nez ki, es SD-kartyat olvas. Az SD-kartyakon *mindig* van irasvedelmi kapcsolo. Nekem speciel egy 8G-s mikroSD van egy SD atalakitoban, es az van a PD-nek latszo olvasoban. Raadasul kategoriakkal jobb, mint a sima pendrive, leven novelheto a kapacitasa egy sima nagyobb kartya vasarlasaval, de nem kell keresgelni, hogy van-e rajta kapcsolo. Van.

ezzel csak egy icipici, mondhatni elhanyagolható bibi van: soha nincs az sd kártyákon kapcsoló

amit annak látsz az egy kis pöcök amit lehet tologatni, de és néhány memóriakártya olvasóban van mechanika amit kapcsol ez a pöcök
- memóriakártyaolvasómban egyáltalán nincs ilyen, tökmindegy hova húzom, írhatom
- fényképezőgépemben speciel (chdk) csak egy jelzőbitként szolgál hogy akkor most töltse-e be induláskor a hack firmware-t vagy a gyárit, de mindkettőben ugyanúgy lehet rá írni

tehát olyan mint a magnókzettán vagy a floppyn az a kis pözök, azaz a médiához semmi köze, és nemhogy az olvasók könnyen babrálhatóak, sőt nemhogy sok figyelmen kívül hagyja, hanem még ha működik is akkor is a sokszor felülírható, csak az épp aktuális sw-en múlik minek veszi (mint windowsban: "írásvédett, nem baj ha felülírom?", aztán egy "igen" és felülírja)

Én elhiszem ha mondod, nem nézek utána a speckónak, de eddig az összes kártyaolvasóm (a fent említettből eddig 3 volt a kezemben), mind az összes kezemben levő laptop, valamint az összes multicard kártyaolvasóm és fényképezőgépem írásvédettnek látta és nem tudott/akart rá írni. Oprendszerek: Win/Lin/BSD. Én ez alapján írtam.

igen, az adott sw figyelembe veheti és a specifikációban mint opcionális szerepel, én pedig arra írtam hogy te a "vírusvédelemre", tehát más gépen és ráadásul más sw-re írtad (az oprendszer fájlkezelőire és nem az abban csücsülő vírusokra)

itt:
http://en.wikipedia.org/wiki/Secure_Digital
a "History" alatti képen jól látszik hogy az a pöcök hogy csatlakozik az elektronikához :)

picit hosszabban: ugyanott az "Optional write-protect tab" cím alatt

ja igen, a lényeget felejtem el:
milyen kártyaolvasók?
honnan lehet tudni vásárlás előtt hogy tényleg a benne lévő "sw" nem engedi írni?

(régen én is szerettem volna ilyen írásvédett sticket és én is egy ilyen olcsó olvasót vettem, de szétszedve is látszik hogy nem nézi a pöcköt, a fényképezőmben látszik hogy van egy ilyen pöcökdetektor .. de ezek után le is tettem róla, és ha mégis van _megbízható_ olvasó akkor érdekelne)

Hát a PD-s, az kb ilyen:

http://hardverapro.hu/apro/8gb_micro_sd_adapter_kartyaolvaso_iro_pendrive/hsz_1-50.html

az egyik hasonló helyról lett, a másikat asszem boltban vettem, de vagy 4-5 éve. Szóval kb noname, így nem igazán tudok megbízható tipust mondani.

"a Microsoft az advisory-ban felsorolt workaround-ok és antivírus termékek használatát javasolja"

Stuxnet malware®, sponsored by antivirus companies.

már úgyérted aki az eredeti szart írta? :)

Megérdemli a nyavajás makrofos.
Biztosan egy ilyen bug-ért sem éri meg fizetni pár ezer dolcsit, inkább költenek majd több százezret fényezőkampányra.
--
A windóz azért szar, mert szar!