提防最新的windows捷徑檔零時差安全漏洞

stuxnet-saturation-2010-07-16.png
M$在17日公開了Security Advisory 2286198,這是關於windows shell的零時差安全性漏洞
Microsoft Security Advisory (2286198)
Image is copyrighted.(C)Microsoft
這個漏洞是windows shell無法正確的處理捷徑檔,造成人為加工過的捷徑檔在顯示的時候就會執行惡意程式碼
利用這個漏洞的惡意程式很容易就會經由USB隨身碟散佈,加上不需要人為用滑鼠點,只要打開隨身碟,一顯示時就中獎,著實相當危險
目前已經發現利用這個安全漏洞的木馬程式"Stuxnet"出現,而且似乎已經流竄好一陣子了
新的變種不但從USB,而且還利用SMB檔案分享等多重路徑來感染,可以想見未來會有更多惡意程式病毒利用這個漏洞來散佈
The Stuxnet Sting
Code for Shortcut Zero-Day Exploit is Public
Windows zero-day attack works on all Windows systems
這個木馬程式還有兩個特徵:
一是帶有某些公司的合法數位簽章(包含台灣的Realtek社),另外一個是它似乎以西門子的WinCC SCADA系統軟體(大型產業或工廠使用的控制系統)為攻擊目標
More Analysis of Case LNK Exploit
Siemens WinCC and PCS7 `come under cyber attack`


目前已知道的是,這個漏洞存在於所有版本的Windows系統,因為目前還沒有對應的修正檔出現,所以M$也提供幾個暫時的因應對策
1.直接廢掉捷徑檔的IconHandler
位置在:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
影響是捷徑將不會有圖示
2.關閉WebClient服務:避免木馬經由WebDAV散播
另外最好也關閉USB的autoplay

要特別提醒的是...
雖然Windows2000/XP SP2也會受這個安全漏洞的影響,但是M$將不會對這些版本的系統公開修正檔
所以如果要求自保,大概就是上面這些方法了
trackbackTrackback: http://blog.snow-sugar.net/trackback.php?tbID=922&extra=60f622
taggedTags: M$ 資安 Stuxnet 漏洞 0-day
Comments: 0 |Trackback: 0 | Read: 2230 | Print | Download
add nookmarks Bookmarks
Share to:Google BookmarksYahoo! My WebWindows LiveDiggDel.icio.usfacebookfacebookredditslashdotfurltechnoratiMyShare樂多網路書籤UDN共享書籤HemiDemi貼到funPLivedoor ClipFC2 BookmarkHatena::Bookmark百度搜藏
referers Link from
  以下連結並未逐一檢查,點選前請自行留意右方評價!
4 Yahoo search: 捷徑漏洞
4 Yahoo search: 隨身碟 捷徑
2 Google search: Windows捷徑漏洞
2 Yahoo search: 關閉捷徑檔
2 Google search: 木馬 捷徑 -Troj_malware.vtg
pannya
Write New Comment
Name:(*) Password:
Website: Email:
Validation:(*) Validation Image [Reload] Option:
Content:(*)