Opis
Windows družina operacijskih sistemov vsebuje ranljivost pri obravnavi bližnjic (shortcut, datoteke s podaljškom LNK), ki napadalcu lahko omogoči zagon poljubne podtaknjene programske kode. Gre za t.i. 0-day ranljivost, kar pomeni, da se že aktivno izrablja, čeprav še ni na voljo uradnega popravka. Ranljiv je tudi Windows 7 operacijski sistem z nameščenimi vsemi popravki.
Do zagona kode pride pri prikazu bližnjice (recimo z Windows Explorer ali Total Commander programoma), če pa je na računalniku nastavljen Autorun samodejni zagon programov, lahko do zagona kode pride tudi brez posredovanja uporabnika.
Na omrežju se ranljivost aktivno uporablja za namestitev gonilnikov mrxnet.sys in mrxcls.sys, ki zlonamerno kodo injicirata v sistemske procese in skrijeta datoteki, tako da na USB pogonih nista vidni. Gonilnika sta bila podpisana s sicer veljavnim digitalnim podpisom podjetja RealTek, ki pa mu je potekel rok veljavnosti. V drugem primeru je bil uporabljen veljavni podpis podjetja JMicron Technology Corp.
Analiza kode, ki se aktivno širi je pokazala, da vsebuje komponento za dostop do Simatic WinCC in PCS7 sistemov podjetja Siemens. Gre za t.i. SCADA sisteme (Supervisory Control and Data Acquisition), ki so namenjeni upravljanju in nadzoru industrijskih procesov, elektrodistribucije ipd.
Protivirusna podjetja sporočajo, da so dodala omenjeno kodo v baze znanih virusov.
Metode širjenja
Okužba se širi preko USB ključev in map v skupni rabi.
Ranljive verzije
- Microsoft Windows 7
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Web Edition
- Microsoft Windows Server 2008
- Microsoft Windows Storage Server 2003
- Microsoft Windows Vista
- Microsoft Windows XP Home Edition
- Microsoft Windows XP Professional
Rešitev
Microsoft je izdal uradni popravek MS10-046.
Posodobljeni protivirusni program lahko zaznajo in preprečijo namestitev zlonamerne kode. Uporabnikom Siemensove programske opreme Simatic svetujemo, da obiščejo uradno Siemensovo stran z opisom problema in navodili za ukrepanje.
Povezave
- Microsoft Security Bulletin MS10-046
- Siemens: SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan
- Microsoft KB 2286198: "Fix It" obvod ranljivosti
- Microsoft Security Advisory (2286198)
- Sophos Windows Shortcut Exploit Protection Tool
- AusCERT: Malware targeting Siemens SCADA
- Siemens: Update on Virus Affecting Simatic WinCC SCADA Systems
- Secunia Advisory SA40647
- F-Secure: Espionage Attack Uses LNK Shortcut Files
Zadnji popravek: 3. 8. 2010