"Trójai terjed az új Windows sebezhetőségen keresztül"

Bug

Biztonsági szakemberek arra hívták fel a figyelmet az elmúlt napokban, hogy egy új, eddig ismeretlen, a Windows operációs rendszerek gyakorlatilag minden verzióját érintő sebezhetőséget kihasználó trójai terjed. A fehérorosz VirusBlokAda antivírus cég elemzése szerint a trójai - ami jelenleg USB flash meghajtókon keresztül propagálja magát - egy teljesen felpatchelt Windows 7-et (32 bit) képes úgy megfertőzni az USB flash meghajtó csatlakoztatásakor, hogy nem használja a megszokott autorun eszközöket (pl. autorun.inf). Az autorun eszközök helyett a malware egy, a Windows parancsikonokat feldolgozó kódjában levő sebezhetőséget használ ki.

Amint felhasználó a fertőzött USB meghajtót megnyitja az Windows Explorer-ben vagy egyéb más fájlkezelőben, amely képes ikonok megjelenítésére (például Total Commander), a rosszindulatú kód automatikusan végrehajtódik minden további felhasználói interakció nélkül.

Másik screnario lehet az, hogy a támadó egy hálózati megosztást készít (vagy WebDAV megosztást), amelyet megfelelően preparál. Amint az áldozat kitallózza a megosztást, a Windows megpróbálja betölteni a parancsikon fájl ikonját és ezáltal a sebezhetőség kihasználásán keresztül a rosszindulatú bináris meghívódhat.

A Microsoft már tud a problémáról és biztonsági figyelmeztetőt adott ki róla. A hiba a Windows Shell-t érinti. A Microsoft figyelmeztetője szerint a sebezhetőség sikeres kihasználása akár távoli kódfuttatást is lehetővé tehet.

Részlet a Microsoft Security Advisory (2286198)-ból:

The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the user clicks the displayed icon of a specially crafted shortcut. This vulnerability is most likely to be exploited through removable drives. For systems that have AutoPlay disabled, customers would need to manually browse to the root folder of the removable disk in order for the vulnerability to be exploited. For Windows 7 systems, AutoPlay functionality for removable disks is automatically disabled.

A Microsoft által megadott érintett rendszerek a Windows XP (32 és 64 bit), Windows Server 2003 (32 és 64 bit), Windows Vista (32 és 64 bit), Windows 7 (32 és 64 bit), Windows 2008 Server (32 és 64 bit). Az x86 és x64 architektúrák mellett az Itanium verziók is érintettek.

A nemrég kiadott Windows 7 SP1 beta és a Windows Server 2008 R2 SP1 beta is érintett.

Javítás egyelőre nincs, a Microsoft az advisory-ban felsorolt workaround-ok és antivírus termékek használatát javasolja. A vállalat szerint korlátozott mértékben használják ki a sebezhetőséget jelenleg. A támadásokért a Stuxnet malware család tehető felelőssé.

A malware érdekessége, hogy két, rootkit funkciókkal ellátott driver-t telepít (mrxcls.sys, mrxnet.sys). A driver-ek a Realtek Semiconductor Corp érvényes aláírásával rendelkeztek kezdetekben. Ez arra utalhat, hogy a malware szerzője valahogyan hozzáfért a Realtek privát kulcsához. A hírek szerint a Verisign azonban a hétvégén visszavonta a Realtek certificate-jét.

Részletek:
Trojan spreads via new Windows hole
Rootkit.TmpHider
Security Advisory 2286198 Released
Microsoft Security Advisory (2286198) - Vulnerability in Windows Shell Could Allow Remote Code Execution
The Stuxnet Sting

( heckles04 v | 2010. 07. 19., h – 10:45 )

kiváncsi vagyok meddig fogtartani a lyuk betömése
ha tippelnem kéne 1,5-2hónap

( GCS v | 2010. 07. 19., h – 10:47 )

Súlyosbítja a helyzetet, hogy folyamatirányító rendszereket, (Siemens által fejlesztett) WinCC-t és egyéb SCADA rendszereket is támadják egyes variánsok. Link itt.

Rosszabbítja a helyzetet az, hogy a vírus valós digitális aláírással (a Realtek-ével) rendelkezik.

Mar elore latom, hogy mikor legkozelebb megyek terepre, az osszes WinCC-s gep fertozott lesz. Mert ugye a WinCC-s gep nincs netre kotve, igy hiaba tesszuk fel ra az antivirust, az nem tud frissiteni, a helyi IT-s meg hat igazabol nem gondolja, hogy ez is a teendoi koze tartozna...

Sic Transit Gloria Mundi

1) Nem használsz pendrive-ot a folyamatirányító számítógépeken. Mentéseket a mérnöki gépen készíted újraírható CD/DVD-re.

2) Minden egyes alkalommal, mielőtt terepre mész, a legfrissebb víruskeregetővel leellenőrized a pennádat. Egyéb célra és egyéb gépbe nem teszed be egyszer sem az USB kulcsodat.

A Microsoft szerint:

Exploit:Win32/CplLnk.A is a generic detection for the vulnerability that is currently exploited by the Win32/Stuxnet family.

When a user browses a folder that contains the malicious shortcut using an application that displays shortcut icons, the malware runs instead. An example of an application that displays shortcut icons is Windows Explorer. No further user interaction is required, in most cases.

Successful exploitation results in the malware running with the privileges of the logged-on user.

--
trey @ gépház

Tök mind1.. Onnan, hogy bejut valami azt csinál amit akar.. Az, hogy csak user szintű jogai vannak első lépésben még nem jelenti azt, hogy ne tudna backdoort nyitni, amivel mondjuk később egy másik exploit segítségével át lehetne venni a teljes gép fölötti irányítást. UAC,DEP és hasonló vicces dolgok ellen pedig már régóta vannak elég jól dokumentált megoldások..
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

A cikkben az volt, hogy "rootkit funkciókkal ellátott driver-t telepít".
Ha sima userként használod a windows vista, vagy windows 7-et akkor hogy tudna drivert telepíteni?
Ha pedig rendszergazda szintű userrel használod, és még ha ki is kapcsolja az UAC-t, akkor is újra kell indítania a gépet (szokás szerint), hogy életbe lépjen a kikapcsolás. Szóval így már nehezebb dolga van.

Szerintem az a baj, hogy mindenki a windows telepítő által alapból létrehozott rendszergazdai userrel nyomul, sokszor jelszó nélküli automatikus beléptetéssel. Így aztán minden vírus meg tud szívatni.
Én sokáig úgy használtam a windows xp-t, hogy korlátozott userrel csináltam mindent, ha valamit telepíteni kellett, akkor "futtatás másként..." funkciót használtam. Nem volt se tűzfalam, se vírusirtóm mégse nem volt gondom vele. Persze lehet mondani, hogy elkerültem azokat a vírusokat, amiket mások nem.

Még mielőtt azt hinné valaki, hogy nagy windows rajongó vagyok elárulom, hogy nem így van. Csak azt akartam leírni, hogy szerintem a legújabb windows azért nem olyan szar, amilyennek sokan megítélik egy-egy ilyen hiba kapcsán.

-=ElveteMedve=-

De van. Csak egy biztonsági "réteget" beépítettek, ami a szerény tapasztalataim szerint annyit teszt, hogy amíg xp alatt egy program gond nélkül telepített a háttérben egy drivert, a vista/7 rendszerekben egy felugró ablak figyelmeztet, hogy xy program akar rendszergazdai jogot igénylő valamit (azt nem árulja el mit) csinálni és megengeded-e neki, vagy nem. Ahogy ezt vOrOn is írta.

-=ElveteMedve=-

( apostroph3 | 2010. 07. 19., h – 11:51 )

elég ötletes. mondhatni túl ötletes.
ezentúl több lesz a neten a 'véletlenül' nyitva hagyott smb portok száma?

( Nyosigomboc v | 2010. 07. 19., h – 12:55 )

Tetszik. Honnan lehet letolteni?

--
-Tolthetek egy kis teat?
-Tolthetsz, de akkor seedeld is!

Parancsolj kérlek

Bontsd ki a C: alá, aztán nevezd át az .lnk_-t .lnk-ra ( Akinek nem lenne annyi esze annak felhívnám a figyelmét, hogy hacsak nem vadvízi evező, akkor ezt egy virtuális gép alatt kövesse el )
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

Perpill nemtom, mert nem vok Win virtual gép előtt, de ha hazaérek ránézek. Elvileg az lnk file-nak a c:\dll.dll file-t ( ami a rar-ban van ) kéne meghívnia. Azt, hogy a dll.dll mit csinál szintén nem tudom jelenleg..
szerk: esetleg próbáld meg majd, hogy a C:\dll.dll-t a cmd/calc.exe-vel felülírod, hátha akkor látványosabb lesz az eredmény, bár nem tudom, hogy működik e, de tippnek jó :)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( Hunter2 | 2010. 07. 19., h – 18:00 )

na ezért kéne nekem egy írásvédett pendrive szerviz használatra.

+1!

Ezt a featuret nagyon hiányolom! Nekem még van egy régebbi pendriveom, amin egy kis kapcsolóval kapcsolható a hardware szintű(!) írásvédelem, tehát ilyen szempontból biztosítható, hogy nem kap el bacit.
Nem tudom a maiakról miért hagyják le!

(Hajajj mennyi autorun inf-es dolgot kellett már újabb pendriveokról legyaknom amikor elmentem pdf-eket nyomtattatni, vagy csak odaadtam valakinek hogy másoljon le dolgokat.)

---------------
Értelmezési hiba! Elolvassa újra? I/N

Szerintem nem tud tobbet, max mas ellen ved. Read-only kapcsoloval nem fogsz tudni irni a pendrivera, ez jo amikor ismerten fertozott gepbe dugod bele, de nem jo amikor olyanba amirol azt hiszed, hogy nem fertozott, mert akkor ugyse kapcsolod be. Ebben a trukkos autorun-ban meg az a jo, hogy csak ez az 1 file lesz "serthetetlen" es minden mast tudsz dolgozni a stick-el.
--
TH

Nekem van irasvedett pendrive-om, es barki masnak is lehet:

1-2 ezer forint az a fajta memoriakartyaolvaso, ami kivulrol pendrive-nak nez ki, es SD-kartyat olvas. Az SD-kartyakon *mindig* van irasvedelmi kapcsolo. Nekem speciel egy 8G-s mikroSD van egy SD atalakitoban, es az van a PD-nek latszo olvasoban. Raadasul kategoriakkal jobb, mint a sima pendrive, leven novelheto a kapacitasa egy sima nagyobb kartya vasarlasaval, de nem kell keresgelni, hogy van-e rajta kapcsolo. Van.

ezzel csak egy icipici, mondhatni elhanyagolható bibi van: soha nincs az sd kártyákon kapcsoló

amit annak látsz az egy kis pöcök amit lehet tologatni, de és néhány memóriakártya olvasóban van mechanika amit kapcsol ez a pöcök
- memóriakártyaolvasómban egyáltalán nincs ilyen, tökmindegy hova húzom, írhatom
- fényképezőgépemben speciel (chdk) csak egy jelzőbitként szolgál hogy akkor most töltse-e be induláskor a hack firmware-t vagy a gyárit, de mindkettőben ugyanúgy lehet rá írni

tehát olyan mint a magnókzettán vagy a floppyn az a kis pözök, azaz a médiához semmi köze, és nemhogy az olvasók könnyen babrálhatóak, sőt nemhogy sok figyelmen kívül hagyja, hanem még ha működik is akkor is a sokszor felülírható, csak az épp aktuális sw-en múlik minek veszi (mint windowsban: "írásvédett, nem baj ha felülírom?", aztán egy "igen" és felülírja)

Én elhiszem ha mondod, nem nézek utána a speckónak, de eddig az összes kártyaolvasóm (a fent említettből eddig 3 volt a kezemben), mind az összes kezemben levő laptop, valamint az összes multicard kártyaolvasóm és fényképezőgépem írásvédettnek látta és nem tudott/akart rá írni. Oprendszerek: Win/Lin/BSD. Én ez alapján írtam.

igen, az adott sw figyelembe veheti és a specifikációban mint opcionális szerepel, én pedig arra írtam hogy te a "vírusvédelemre", tehát más gépen és ráadásul más sw-re írtad (az oprendszer fájlkezelőire és nem az abban csücsülő vírusokra)

itt:
http://en.wikipedia.org/wiki/Secure_Digital
a "History" alatti képen jól látszik hogy az a pöcök hogy csatlakozik az elektronikához :)

picit hosszabban: ugyanott az "Optional write-protect tab" cím alatt

ja igen, a lényeget felejtem el:
milyen kártyaolvasók?
honnan lehet tudni vásárlás előtt hogy tényleg a benne lévő "sw" nem engedi írni?

(régen én is szerettem volna ilyen írásvédett sticket és én is egy ilyen olcsó olvasót vettem, de szétszedve is látszik hogy nem nézi a pöcköt, a fényképezőmben látszik hogy van egy ilyen pöcökdetektor .. de ezek után le is tettem róla, és ha mégis van _megbízható_ olvasó akkor érdekelne)

( Charybdis | 2010. 07. 19., h – 18:51 )

"a Microsoft az advisory-ban felsorolt workaround-ok és antivírus termékek használatát javasolja"

Stuxnet malware®, sponsored by antivirus companies.

( dyn | 2010. 07. 21., sze – 13:32 )

már úgyérted aki az eredeti szart írta? :)

( bodobacs | 2010. 07. 25., v – 20:58 )

Megérdemli a nyavajás makrofos.
Biztosan egy ilyen bug-ért sem éri meg fizetni pár ezer dolcsit, inkább költenek majd több százezret fényezőkampányra.
--
A windóz azért szar, mert szar!