Каталог статей
| Главная » Статьи » Мои статьи |
Эксперты предупреждают о новой уязвимости в Windows
| Эксперты предупреждают о новой
уязвимости в Windows Исследователи предупреждают о новом штамме компьютерных вредоносных программ, которые используют доселе неизвестные уязвимости в системе безопасности Windows - уязвимость в процессе создания ярлыков. VirusBlokAda, антивирусная компания из Беларуссии, заявила о том, что 17 июня ее специалисты нашли два новых образца вредоносных кодов, которые способны инфицировать Windows 7 при просмотре содержимого USB-диска через Windows Explorer. Большинство вредоносных программ, которые распространяются через USB-носители, традиционно используют Windows Autorun или Autoplay. Но, по словам исследователей VirusBlokAda, данный вирус использует уязвимость в методе обработки ярлыков (*.lnk). Ярлыки файлов представляют собой ссылки на исполняемые файлы и, как правило, размещены на рабочем столе пользователя или в меню "Пуск". В теории ярлык ничего не делает, пока пользователь не нажимает на его иконку. Но исследователи VirusBlokAda обнаружили, что инфицированные файлы ярлыков в состоянии выполняться автоматически, если они записаны на USB-диск, который впоследствии будет открываться через Windows Explorer. "Пользователь должен просто открыть зараженное USB-устройство через Windows Explorer или любой иной файловый менеджер, который может отображать иконки (например, Total Commander), чтобы заразить операционную систему и разрешить выполнение вредоносного ПО" - пишет Сергей Уласен, эксперт VirusBlokAda, в статье, опубликованной в этом месяце. Уласен пишет, что вредоносная программа устанавливает два драйвера: "mrxnet.sys" и "mrxcls.sys.". Эти файлы используются для сокрытия вредоносного ПО на USB-устройстве. Интересно, что эти файлы драйвера подписаны цифровой подписью Realtek Semiconductor Corp., вполне легальной и законной компании в сфере hi-tech. Уласен сказал, что обратился в Microsoft и в Realtek, и получил ответы от Джерри Брайанта (Jerry Bryant), руководителя группы быстрого реагирования Microsoft, который заявил следующее: "Microsoft изучает информацию о новой уязвимости, и как только мы завершим расследование, мы предпримем соответствующие меры для защиты пользователей". Microsoft, со своей стороны, уже опубликовало предварительное уведомление по поводу данной уязвимости. Подобный метод распространения вредоносного ПО может стать весьма популярным, но даже на сегодняшний день эта угроза представляется достаточно серьезной: независимый исследователь в сфере безопасности Фрэнк Болдуин (Frank Boldewin) сказал, что он имел возможность изучить образцы вредоносного ПО, и он утверждает, что, судя по всему, вредоносный код создавался для систем Siemens WinCC SCADA или иных систем, осуществляющих контроль над крупными, распределенными системами наподобие заводов и электростанций. "Похоже, что этот код был создан в целях шпионажа" - считает Болдуин. Microsoft выпустила средство для
блокировки уязвимых ярлыков Уязвимость в Windows Shell, дающая возможность исполнения произвольного кода с локальными правами при простом просмотре lnk/pif-файлов (в оболочке, диалоге открытия файла и т.п.), пока может быть заблокирована единственным способом - полным запретом отображения иконок, ассоциированных с этими файлами. И хотя манипуляции с реестром, которые необходимо проделать для этого запрета, весьма просты, Microsoft, трезво оценивая средний уровень пользователей, выпустила простейшую утилиту, выполняющую нужные действия в несколько кликов. До выпуска нормального патча это лучшее, что можно предложить пользователям. Уязвимость Microsoft Windows, которую демонстрировал 0-day exploit 19 июля, оказалась многовекторною: сайты могут автоматически заражать читателей через Internet Explorer Многие читатели помнят, как в понедельник 19 июля во блоге компании ESET на Хабрахабре появилась блогозапись, оповестившая о появлении вредоносной программы, способной проникать в систему через особым образом оформленные значки ярлыков. В этой блогозаписи (в конце её) рекомендовалось ознакомиться с советами во блоге независимого исследователя (по имени Didier Stevens), который рекомендовал вырубить запуск файлов с USB и CD или загрузку их оттуда в память. Многие расслабились, а меж тем на этом ничего не закончилось. 20 июля Корпорация Майкрософт выложила, а 21 июня сайт Security Lab перепечатал обновление прежнего известия. Обновление же гласит, что для атаки на июльскую уязвимость может и не быть нужна ни флэшка, ни сидюк (или дивидюк). Вместо этого атакующему достаточно создать особым образом некоторый сайт и дожидаться того только, чтобы пользователь зашёл на сайт при помощи Internet Explorer; и как только Windows попробует загрузить значок, на сайте указанный, всё будет кончено. Вот теперь начинается настоящее веселье. В комментариях ко блогу ESET иронизировали, кажется, только поклонники Linux; но теперь, о! теперь настаёт наконец время призывать также к переходу на Firefox, Chrome, Safari, Opera, SeaMonkey, и так далее, и так далее. И неподдельный глубокий ужас охватит всех тех, кто лазает по Паутине через IE или через любое другое зловещее поделие, на IE основанное — Maxthon, Netscape в IE-режиме, Firefox с IE-вкладкою, Chrome Frame, и так далее, и так далее. Судный день Эксплорера! Закрыли сегодня эту дыру. Заплатка уже пришла с обновлениями: http://www.microsoft...n/MS10-046.mspx | |
| Просмотров: 976 | Рейтинг: 0.0/0 |
| Всего комментариев: 0 | |