Skoči na vsebino

SI-CERT 2010-04 / Windows LNK kritična ranljivost

Opis

Windows družina operacijskih sistemov vsebuje ranljivost pri obravnavi bližnjic (shortcut, datoteke s podaljškom LNK), ki napadalcu lahko omogoči zagon poljubne podtaknjene programske kode. Gre za t.i. 0-day ranljivost, kar pomeni, da se že aktivno izrablja, čeprav še ni na voljo uradnega popravka. Ranljiv je tudi Windows 7 operacijski sistem z nameščenimi vsemi popravki.

Do zagona kode pride pri prikazu bližnjice (recimo z Windows Explorer ali Total Commander programoma), če pa je na računalniku nastavljen Autorun samodejni zagon programov, lahko do zagona kode pride tudi brez posredovanja uporabnika.

Na omrežju se ranljivost aktivno uporablja za namestitev gonilnikov mrxnet.sys in mrxcls.sys, ki zlonamerno kodo injicirata v sistemske procese in skrijeta datoteki, tako da na USB pogonih nista vidni. Gonilnika sta bila podpisana s sicer veljavnim digitalnim podpisom podjetja RealTek, ki pa mu je potekel rok veljavnosti. V drugem primeru je bil uporabljen veljavni podpis podjetja JMicron Technology Corp.

Analiza kode, ki se aktivno širi je pokazala, da vsebuje komponento za dostop do Simatic WinCC in PCS7 sistemov podjetja Siemens. Gre za t.i. SCADA sisteme (Supervisory Control and Data Acquisition), ki so namenjeni upravljanju in nadzoru industrijskih procesov, elektrodistribucije ipd.

Protivirusna podjetja sporočajo, da so dodala omenjeno kodo v baze znanih virusov. 

Metode širjenja

Okužba se širi preko USB ključev in map v skupni rabi.

Ranljive verzije

  • Microsoft Windows 7
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2008
  • Microsoft Windows Storage Server 2003
  • Microsoft Windows Vista
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional

Rešitev

Microsoft je izdal uradni popravek MS10-046

Posodobljeni protivirusni program lahko zaznajo in preprečijo namestitev zlonamerne kode. Uporabnikom Siemensove programske opreme Simatic svetujemo, da obiščejo uradno Siemensovo stran z opisom problema in navodili za ukrepanje.

Povezave 

Zadnji popravek: 3. 8. 2010

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več