Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

LNK zero-day - podstawy

Roel Schouwenberg
Kaspersky Lab Expert
Dodany 20 lipca 2010, 09:55 CEST
Tagi:

W weekend zająłem się analizowaniem luki zero-day LNK w systemie Windows, o której pisał niedawno Aleks. Luka ta została sklasyfikowana jako CVE-2010-2568 i jest aktywnie wykorzystywana na wolności.

Główny wniosek, do jakiego doszedłem, jest taki, że luka ta stanowi fundamentalną cześć sposobu, w jaki Windows obsługuje pliki LNK. To oznacza, że istnieją dwa ogromne negatywy – po pierwsze, ze względu na to, że funkcjonalność ta jest dość standardowa, coraz trudniej będzie stworzyć skuteczne wykrywanie generyczne, które nie wywołuje fałszywych trafień.

Po drugie, przypuszczam, że Microsoft będzie miał problemy z załataniem tej luki. Wygląda na to, że nie istnieje żaden model bezpieczeństwa związany ze sposobem obsługi skrótów przez Windowsa. Cała ta sytuacja przypomina mi nieco o lukach w formacie WMF.
Opublikowaliśmy generyczne wykrywanie zainfekowanych plików LNK, które próbują wykorzystywać tę funkcję. Sądzę, że format LNK zacznie cieszyć się teraz większym zainteresowaniem, zarówno wśród osób z dobrymi jak i złymi zamiarami. Zalecam zatem, abyście zapoznali się z informacjami opublikowanymi przez Microsoft. Jestem pewny, że będzie to czas dobrze spożytkowany, ponieważ spodziewam się, że luka ta będzie powszechnie wykorzystywana, zanim pojawi się odpowiednia łata.