KB2286198. Actualizare de securitate
Mai bine mai târziu decât niciodată, Microsoft a lansat o actualizare de securitate menită să remedieze vulnerabilitatea din Windows Shell. Pentru cei care nu-şi mai aduc aminte, o eroare în procesarea shortcut-urilor (.LNK) şi care ţine de validarea nenecorespunzătoare a anumitor parametri, permite rularea de cod maliţios prin intermediul unor shortcut-uri create special, pe TOATE sistemele de operare Windows. Nici măcar Windows 7, cu sau fără Service Pack-ul aflat în stadiul beta, nu este scutit de probleme.
Realizând gravitatea situaţiei, Microsoft ne propusese deja o soluţie „de avarie” (acel Fix it 50486), însă după cum foarte bine remarcau şi cititorii acestui blog, decizia de „maltrata” meniul de start şi bara de lansare nu poate fi privită drept o alternativă viabilă. Personal, am fost plăcut surprins de rezolvarea găsită de Sophos care a venit în întimpinarea utilizatorilor cu un utilitar gratuit (Windows Shortcut Exploit Protection Tool) ce semnalează prezenţa link-urilor maliţioase.
Buletinul de securitate Microsoft Security Bulletin MS10-046 încearcă să pună punct acestei poveşti, prin actualizarea cu numărul de ordine KB2286198, disponibilă atât prin programul automat dar şi pentru a fi descărcată manual.
Viermele de internet Stuxnet
O scurtă paranteză. Experţii în securitate au atras atenţia în ultimele zile asupra ameninţării reprezentate de viermele de internet Stuxnet (cel care profită de această vulnerabilitate în interpretarea shortcut-urilor), subliniind creşterea numărului de atacuri. Printre ţările vizate se numără Iran sau Indonesia, dar şi India, Ecuador sau chiar Statele Unite, o dovadă în plus a faptului că atunci când discutăm de ameninţări informatice, acestea nu ţin cont de religie, organizare socială sau formă de guvernământ.
Modul de operare al viermelui de internet Stuxnet poate fi considerat unic, fiindcă odată ajuns în sistem prin Exploit:Win32/CplLnk.A, creează o pictogramă pe desktop (cu aspect familiar utilizatorilor), la accesarea căreia se activează componenta malware TrojanDropper:Win32/Stuxnet.A.
În scurt timp, aceasta descarcă pe calculatorul gazdei lipsită de griji numai puţin de cinci programe maliţioase (doi viermi şi trei troieni), dintre care troianul Trojan:WinNT/Stuxnet.B / numit iniţial VirTool:WinNT/Rootkitdrv.HK are rolul de ascunde infecţia, făcând-o dificil de detectat pentru programul antivirus. Din acel moment, Stuxnet începe să se multiplice, infectând orice dispozitiv portabil (stick-uri USB, carduri de memorie, ş.a.m.d.) şi discutăm aşadar despre un soft maliţios ce se încadrează clar în tiparul viermilor de internet.
Dincolo de exploatarea vulnerabilităţii din Windows Shell, Stuxnet a mai beneficiat de un ajutor nesperat, sub forma unui certificat digital semnat Realtek Corporation şi ajuns pe mâinile cui trebuie. VeriSign au confirmat autenticitatea certificatul, menţionând însă că acesta a expirat din 12 iunie 2010 şi de comun acord cu Microsoft şi Realtek au convenit să-l anuleze, tocmai pentru a nu facilita răspândirea acestei ameninţări. Dar cum a ajuns acel rootkit să fie semnat digital rămâne un mister, iar dacă în viitor nu vom mai avea încredere nici măcar în certificatele digitale e semn clar că trebuie să căutăm HC-ul prin pod.
KB2286198
Cât de eficientă rămâne această actualizare rămâne de văzut, mai ales că nu sunt puţini cei care s-au plâns că după instalare, pictogramele din bara de start şi-au schimbat aspectul, într-un mod similar celui generat de peticul 50486. Cu toate acestea, în condiţiile în care vulnerabilitatea afectează toate versiunile de Windows şi românii prefere într-o proporţie aproape de 100% sistemul de operare produs de Microsoft, riscul de nu instala actualizarea este mai mare decât posibilele carenţe în afişarea unor pictograme. Decizia însă vă aparţine şi nu vreau să vă influenţez în vreun fel.
Iar pentru că data trecută unii dintre cititori au solicitat link-urile pentru instala manual aceste actualizări, am ales de pe site-ul Microsoft versiunile pe Windows XP, Vista şi Windows:
- Actualizare de securitate pentru Windows XP (KB2286198)
- Actualizare de securitate pentru Windows XP pe 64 de biţi (KB2286198)
- Actualizare de securitate pentru Windows Vista (KB2286198)
- Actualizare de securitate pentru Windows Vista pe 64 de biţi (KB2286198)
- Actualizare de securitate pentru Windows 7 (KB2286198)
- Actualizare de securitate pentru Windows 7 pe 64 de biţi (KB2286198)
În loc de încheiere…
Vă anunţam cu ceva vreme în urmă despre încetarea suportul tehnic pentru Windows 2000 şi Windows XP SP2, iar Microsoft rămâne pe poziţii în cazul XP-ul, actualizarea KB2286198 fiind disponibilă DOAR celor care au instalat (între timp sau de la bun început) Service Pack 3. Utilizatorii de XP cu SP2 au de ales între peticul Microsoft şi soluţia „third party” de la Sophos, în timp ce pentru Windows 2000 singura alternativă rămâne Fix it 50486.
Acest amalgam de petice, actualizări, soluţii sau doar improvizaţii, îmi lasă un gust amar ştiind că nu se va sfârşi vreodată, iar tot ce se poate face este să supravieţuieşti pentru a lupta încă o zi.
Sursă poză (2):
- http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
Materiale bibliografice:
- http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx
- http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
- http://www.windowsobserver.com/2010/08/03/critical-windows-update-released-for-vulnerability-kb2286198/
- http://www.microsoft.com/downloads/details.aspx?FamilyID=12361875-B453-45E8-852B-90F2727894FD&displaylang=en
- http://www.malwarecity.com/news/microsoft-sticks-to-plan-denies-emergency-patch-for-xp-sp2-871.html
- http://www.sophos.com/security/topic/shortcut.html
In sfarsit au rezolvat
PS: “VirTool:WinNT/Rootkitdrv.HK / numit iniţial VirTool:WinNT/Rootkitdrv.HK” sunt eu chios sau e acelasi nume?:P
Salut @bcman
Am corectat. Thanks
E vorba de Trojan:WinNT/Stuxnet.B.
L-am pus pe XP şi nu am întimpinat nici o problema cu pictogramele…
Salut @Nick. Mă bucur dacă totul a mers „ca la carte”. Nici eu n-am întâmpinat probleme (Windows XP / 32 de biţi).
Am instalat şi eu peticul şi e OK
Nu s-a întâmplat nimic cu pictogramele 
Poate vor lansa şi o a doua versiune a peticului. Vom trăi şi vom vedea. 
Salut Andrei. Instalare fără probleme pe Windows XP/ 32 de biți. Nimic de semnalat in ceea ce privește pictogramele. Nici soluția de la Sophos nu e de neglijat,chiar încep să apreciez munca acestora,sunt foarte atenți și destul de eficienți in ultima perioada,in opinia mea. O seara buna va urez tuturor. STIMA.
Instalat pe Windows 7 x64. Totul OK
)
@sergiu Sophos are si o rata mare de detectie 0-Day Malware
@andrei Nu-i nimic, se mai intampla. Si eu am facut o greseala. Am vrut sa scriu chior si am scris chios
PS: Nu e exclus sa inventez un cuvant nou, pe care de maine il veti vedea in DEX
PS2: Nu stiu cum reusesti dintr-o stire banala si scurta, pe care altii o scriu in 10-15 randuri, tu sa scrii un articol destul de lung.
@bcman Mulţumesc. Pe 64 de biţi chiar nu aveam cum să testez
Articolul (cu cele 600 de cuvinte), nu este chiar lung, cel puţin nu având în vedere conţinutul. Pe lângă actualizarea de securitate KB2286198, am spus şi despre unealta Sophos, viermele de internet Stuxnet (unde povestea certificatului digital „pierdut” de Realtek mi se pare abracadabrantă), lipsa suportului pentru Windows XP SP2, amintind şi de unele probleme găsite în timp ce mă documentam. Sigur, alte bloguri prezintă aceleaşi informaţii în articole distincte şi atunci e normal ca 10-15 rânduri să fie suficiente.
@sergiu @StelistCristi Vă mulţumesc pentru confirmări. Mă bucur să aud că totul este ok.
win7 x86 e ok. adevarul e ca a trebuit sa citesc articolul ca sa realizez ca am instalat un update ce putea genera probleme
. baiat bun ce sunt 
.
@happyday
Eu, înainte să scriu articolele, testez mai întâi pe un PC real (m-am „lecuit” de maşinile virtuale) şi de data aceasta n-am observat nimic suspect. Însă cel puţin două site-uri (plus câteva comentarii de Twitter) reclamau anumite disfuncţionalităţi, drept pentru care am zis că e corect să vă informez
P.S. Mare răbdare ai să-mi citeşti articolele cap-coadă 
Si la mine a mers fara probleme (3 PC = XP SP3/32 si win7x86). Dar cunosc cazuri in care pe XP SP3/32 si Vista au fost urmatoarele probleme:
- bootare ceva mai lenta, urmat de 2-3 minute de “sindromul procesorului beat si supraincarcat” (glumesc), deschiderea greoaie a ferestrelor/programelor; apoi nici o problema – XP SP3/32 = 3 cazuri cunoscute de mine;
- bootare greoaie, deschiderea greoaie a browserului; in scurt timp revenire la normal – Vista = 3 cazuri cunoscute de mine.
In cazurile descrise de mine cauza micilor probleme (si de scurta durata) a fost sigur update-ul in discutie.
In fine, felicitari. Un articol care contine informatii utile.
Uite de ce imi disparuse mie imaginea icoanelor din taskbar! Habar nu aveam ca e din cauza acestui update. Am Windows 7 Ultimate x64, si de obicei pun scurtaturile programelor in taskbar si le sterg pe cele de pe desk. Numai ca dupa aparitia update-ului, mi-au disparut imaginile la icoane, dar asta se intampla numai in taskbar. Daca o scot de acolo si trimit din nou un shortcut pe desk, acesta e afisat corect, cum il trag in taskbar, gata, dispare. Solutia care am gasit-o, a fost sa reinstalez programele respective, apoi nu mai aveam acesta problema. Acum am instalat si solutia de la Sophos, ( just in case…) si o sa scot KB-ul de la Microsoft. . Nu am chef sa tot reinstalez la programe, nu de alta, dar nu-mi dau seama unde o sa duca shortcut-ul din taskbar si nu vreau sa-mi umplu desk-ul de icoane. Pe celelale le tin in jump list sau intr-un folder.
@francisc Mulţumesc pentru feedback. Aseară Vista (Home Premium / 32 de biţi) mi-a pus răbdarea la încercare vreme de câteva minute la boot-are, însă pictogramele au rezistat.
@2dorake Bine ai venit pe blogul Stefa Media
Îmi pare rău să aud că ai întâmpinat probleme, însă de pe altă parte nici nu pot să nu observ că am fost printre singurii care au atras atenţia în privinţa anumitor disfuncţionalităţi ce pot fi cauzate de această actualizare. Nu era nevoie să reinstalezi programele, ci doar să dezinstalezi actualizarea KB2286198.
Mergi cu încredere pe mâna utilitarului Windows Shortcut Exploit Protection Tool de la Sophos şi, dacă ai timp, trimite o sesizare la Microsoft.
S-au miscat cam greu, dar… nu neaparat mai greu decat le sta in fire.
La mine s-a intamplat ceva suspect: dupa al doilea restart mi-a sarit in fata o fereastra cu mesajul (parafrazat): “Your Windows copy is not genuine. Click here to verify (or fix) the problem”
Asta inainte sa se incarce Desktop-ul.
Pe de alta parte, tocmai instalasem si Comodo IS 2011 Beta.
Am incercat sa reproduc problema… dar la urmatoarele restartari totul a fost in ordine.
Windows-ul meu 7 este perfect legal si este activat demult.
Suspect…
Salut @Radu şi mulţumesc pentru comentariu
Ca să încep cu o glumă, cred că doar utilizatorii de Windows legal au mai fost deranjaţi de acel ecran în ultimul timp
E prima dată când aud de această eroare (unde suspectul „de servici” pare ar fi mai degrabă Comodo IS 2011), dar e foarte posibil să fie o întâmplare din ciclul „încurcate sunt căile Windows-ului”. P.S. Window-ul 7 e pe 64 de biţi ?
După câte ciudăţenii au văzut la Vista (ultima dată îmi dispăruse driver-ul pentru unitatea optică) nu mă mai miră nimic.
@andrei
Pentru a completa lista ciudateniilor( si pentru a mai destinde atmosfera), eu “am pierdut” driver-ul pentru mouse. Am reparat, am reinstalat, am scanat dupa virusi ….. , am facut tot ceea ce trebuia si, nimic. L-am dezinstalat, am sters registrii, restart PC si ….. a aparut “micutul soricel”. Driverul pentru mouse era bine mersi si trona la locul lui.
Poti sa razi cat si cum vrei, dar nici pana in ziua de azi nu stiu ce anume a fost, habar n-am care a fost cauza si cum, dupa deszinstalare, driverul era la locul lui si functional!!! Or fi fost de vina exploziile solare, extraterestrii, NASA !!!???
prefer varianta cu “multiplele cai ale windows-ului”. la nici 60 de zile de la activare mi-a cerut reactivarea licentei perfect legale
faza pe care am preferat sa o rezolv telefonic 
.
Eu unul am altă părere despre cei care aveţi probleme … adică: eu cred că lucraţi cu necuratul !!! Asta aşa ca să mai destind un pic atmosfera !
@yo9fah
Am început să lucrăm „cu necuratul” odată cu instalarea primului Windows
Pai defapt MS isi face reclama sa le piratai produsele
)
) Unul (cred ca cel de la JMicron a expirat destul de repede ceea ce ma face sa cred ca le-au furat cu ceva timp in urma si le-au pastrat “pentru ocazii speciale”. E greu de crezut ca au furat doar doua. Asta duce la:
), cu un backup facut, datele importante criptate si update-urile la zi. Daca va bate lapovita spam-ului va recomand sa folositi GMail care are un filtru de spam excelent 
@andrei: Au fost doua semnaturi digitale furate si se crede ca au fost chiar mai multe
Una de la Realtck si alta de la JMicron (see securelist powerd by Kaspersky LAB
Se crede ca au fost furate folosind ZBot (cine vrea, sa imi dea un email
Prognoza virusistica arata descoperirea mai multor vulnerabilitati critice in programe foarte utilizate si/sau chiar folosirea ingineriei sociale combinata cu aceste atacuri. Probabil malware-ul care va exploata aceasta vulnerabilitate va fi semat digital. Poate chiar de Microsoft
Va recomandam sa nu iesiti pe internet fara umprela protectoare a uni antivirus (avira
Vom astepta pana cand va veni soarele devirusarii si protectie proactive ce poate fi reprezentat de Comodo 2011. Aceasta prognoza se agraveaza in cazul: SUA,China,Rusia,India si Iran. Daca va petreceti vacanta in una din aceste tari va recomand NoScript si sfaturile lui Andrei de pe stefamedia legate de conexiunile wireless. Speram si ca nu va prins molima infectarii cu ZBot si/sau stuxnet.
@andrei
Ehei…!!! Daca eram eu baiat cuminte si citeam articolul inainte, sigur nu mai apelam la varianta cu reinstalarea! Ce sa-i faci, nu prea este facut cunoscuta aceasta problema si sunt sigur ca mai sunt destui care au aceasta problema si nu-si dau seama din ce cauza e.Eu de exemplu dadeam vina pe vreun program instalat, tema Hyperdesk, sau vreo curatare gresita a registrilor. O sa le trimit si celor de la Microsoft o sesizare in aceasta privinta, chiar daca nu sunt primul care va face asta, desi cred ca ar fi trebuit sa o fac atunci cand inca se manifesta fenomenul, pentru a le trimite un raport detaliat.