Skoči na vsebino
Varnostna obvestila /

SI-CERT 2010-04 / Windows LNK kritična ranljivost

Opis

Windows družina operacijskih sistemov vsebuje ranljivost pri obravnavi bližnjic (shortcut, datoteke s podaljškom LNK), ki napadalcu lahko omogoči zagon poljubne podtaknjene programske kode. Gre za t.i. 0-day ranljivost, kar pomeni, da se že aktivno izrablja, čeprav še ni na voljo uradnega popravka. Ranljiv je tudi Windows 7 operacijski sistem z nameščenimi vsemi popravki.

Do zagona kode pride pri prikazu bližnjice (recimo z Windows Explorer ali Total Commander programoma), če pa je na računalniku nastavljen Autorun samodejni zagon programov, lahko do zagona kode pride tudi brez posredovanja uporabnika.

Na omrežju se ranljivost aktivno uporablja za namestitev gonilnikov mrxnet.sys in mrxcls.sys, ki zlonamerno kodo injicirata v sistemske procese in skrijeta datoteki, tako da na USB pogonih nista vidni. Gonilnika sta bila podpisana s sicer veljavnim digitalnim podpisom podjetja RealTek, ki pa mu je potekel rok veljavnosti. V drugem primeru je bil uporabljen veljavni podpis podjetja JMicron Technology Corp.

Analiza kode, ki se aktivno širi je pokazala, da vsebuje komponento za dostop do Simatic WinCC in PCS7 sistemov podjetja Siemens. Gre za t.i. SCADA sisteme (Supervisory Control and Data Acquisition), ki so namenjeni upravljanju in nadzoru industrijskih procesov, elektrodistribucije ipd.

Protivirusna podjetja sporočajo, da so dodala omenjeno kodo v baze znanih virusov. 

Metode širjenja

Okužba se širi preko USB ključev in map v skupni rabi.

Ranljive verzije

  • Microsoft Windows 7
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2008
  • Microsoft Windows Storage Server 2003
  • Microsoft Windows Vista
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional

Rešitev

Microsoft je izdal uradni popravek MS10-046

Posodobljeni protivirusni program lahko zaznajo in preprečijo namestitev zlonamerne kode. Uporabnikom Siemensove programske opreme Simatic svetujemo, da obiščejo uradno Siemensovo stran z opisom problema in navodili za ukrepanje.

Povezave 

Zadnji popravek: 3. 8. 2010

Preberite tudi

Varnostna obvestila /

SI-CERT 2026-02 / Ranljivost v WordPress vtičniku PixelYourSite

WordPress vtičnik PixelYourSite vsebuje ranljivost z visoko resnostjo, ki omogoča vstavljanje in trajno shranjevanje zlonamerne kode v vsebino spletnega mesta
Več
Varnostna obvestila /

SI-CERT 2026-01 / Ranljivosti Cisco Catalyst SD-WAN

Prva objava: 25. februar 2026Zadnje urejanje: 26. februar 2026 Povzetek Podjetje Cisco je objavilo več ranljivosti Cisco Catalyst SD-WAN Controller in Cisco Catalyst SD-WAN Manager naprav, ki se že aktivno …
Več
Varnostna obvestila /

SI-CERT 2025-08 / F5 izpostavljenost izvorne kode

Napadalci so avgusta 2025 pridobili dolgotrajen nepooblaščen dostop do nekaterih notranjih sistemov F5, vključno z razvojnim okoljem za BIG‑IP in platformami za upravljanje inženirskega znanja. Ukradli so občutljive podatke, med njimi del izvorne kode BIG‑IP, in informacije o nerazkritih ranljivostih. Podajamo nasvete za skrbnike F5 sistemov.
Več