Vulnerabilitatea din Windows Shell
Ieri am vorbit despre actualizările de securitate din luna iulie, însă din motive care ţin de cantitatea de informaţie oferită într-un singur material şi mai ales pentru că vulnerabilitatea nu făcea obiectul unuia dintre cele patru buletine de securitate, am lăsat subiectul numit Windows Shell pentru astăzi.
Despre ce este vorba ? Pe 16 iulie 2010, Microsoft a publicat o înştiinţare (Microsoft Security Advisory 2286198), unde se menţionează vulnerabilitatea componentei Windows Shell, din Microsoft Windows. O eroare în procesarea shortcut-urilor (.LNK) şi care ţine de validarea nenecorespunzătoare a anumitor parametri, permite rularea de cod maliţios prin intermediul unor shortcut-uri create special.
Mai mult, vulnerabilitatea se manifestă atât la citirea automată a unui dispozitiv portabil (caz în care facilitatea AutoPlay este activată / am discutat despre diferenţele dintre autoplay şi autorun), dar şi la parcurgea conţinutului respectivului dispozitiv folosind banalul Windows Explorer. Contrar a ceea ce s-a spus în primele zile, dezactivarea autorun nu vă protejează în cazul acestei vulnerabilităţi din Windows Shell.
Vulnerabilitatea poate fi exploatată atât local (printr-un stick USB, card de memorie, ş.a.m.d.), dar şi de la distanţă (eng. remotely) prin drive-urile partajate în reţea sau WebDAV. Un motiv în plus de îngrijorare este dat de gradul ridicat de penetrare a vulnerabilităţii, practic nici un sistem de operare Microsoft nefiind scutit de probleme. Vom vedea într-un scurt filmuleţ de la Sophos cum se manifestă această problemă pe sistem Windows 7 cu User Account Control (UAC) activ şi dintr-un cont cu privilegii limitate.
Microsoft a luat cunoştinţă deja de primele atacuri (deşi reduse ca amploare) şi a reacţionat prin lansarea unui Fix it. Soluţia este una de moment, menită mai degrabă de a-i descuraja pe atacatori, în condiţiile în care utilizatorii obişnuiţi nu se grăbesc să instaleze actualizările socotite critice, cu atât mai puţin un petic.
Windows shortcut vulnerability with rootkit. Sophos video
Windows Shell. Microsoft Fix it 50486
URL: http://go.microsoft.com/?linkid=9738980
După cum vă spuneam, răspunsul Microsoft a venit sub forma acestui petic (Fix it 50486) care dezactivează funcţiile fişierelor .LNK şi .PIF pe sistemele Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 sau Windows Server R2.
Este o măsură radicală şi care va schimba (la modul negativ) aspectul pictogramelor din taskbar sau din meniul de start.
Tot în acelaşi document (Microsoft Security Advisory din 21 iulie 2010), pentru cei care sunt familiarizaţi cu modificarea regiştrilor din Windows, Microsoft explică paşii ce trebuie urmaţi pentru a implementa manual modificările aduce de Fix it 50486, oferind şi posibiltatea de renunţa la acest petic, odată ce nu va mai fi necesar.
Dezactivare Fix it 50486
URL: http://go.microsoft.com/?linkid=9738981
La final…
Doi dintre jucătorii importanţi pe piaţa produselor de securitate Avira şi Sophos (probabil şi alţii), identifică respectiva vulnerabilitate şi blochează orice încercare de a rula cod neautorizat, dar soluţia recomandată de Microsoft rămâne lui Fix it 50486.
Decizia de a-l instala sau nu vă aparţine, iar eu las deoparte vulnerabilităţile Microsoft şi ne revedem spre seară cu un articol scris pe un ton ceva mai optimist.
Materiale bibliografice:
- http://support.microsoft.com/fixit
- http://www.microsoft.com/technet/security/advisory/2286198.mspx
- http://support.microsoft.com/kb/2286198
Salut Andrei și fidelilor blogului. Iata,ca citind ceva mai devreme pe forum la Avira despre acest subiect,vad ca Andrei revine cu un articol cat se poate de important ,in ceea ce privește vulnerabilitatea descrisa. Adaug eu,ca cei de la Avira chiar tratează serios aceasta chestiune,corespondez in lb. germana cu un moderator al forumului și au ajuns la concluzia ca e ceva critic,chiar foarte critic. Asa ca,Andrei,subiectul ce îl dezbați azi are o importanta deosebita,este ceva ce cei de la Avira considera alerta de gradul 1!!! NOTA 10 pt articol,tine-o tot asa! STIMA.
Salut @sergiu
Mulţumesc frumos pentru aprecieri
Problema e într-adevăr una gravă, lucru de care m-am convins după ce Microsoft a demonstrat că e dispus să-şi „masacreze” pictogramele. Mi se pare unul dintre cele mai drastice FIX-uri văzute. Dacă ai detalii sau impresii în urma corespondenţei, le aştept cu plăcere 
P.S. În ciuda importanţei subiectului, acest articol n-a avut mai mult de 10 vizionări şi 3 vizite via Twitter.
in cazul ăsta nu ies de pe Ubuntu o perioadă
serios acum, de ce se mișcă Microsoft așa încet? Au trecut deja 6 zile și cea mai bună soluție maltratează interfața?
Salut @Marius Balaban
Şi pe Windows poţi fi în siguranţă dacă ai un antivirus decent (mai nou înţeleg că şi Eset-ul protejează împotriva acestei vulnerabilităţi), însă problema rămâne.
N-aş spune că se mişcă încet inginerii de la Microsoft, dar n-au realizat amploarea evenimentelor. Au fost şocaţi văzând că nu contează dezactivarea autorun şi acum se observă o oarecare disperare.
Citisem si au acum cateva zile despre aceasta vulnerabilitate si chiar nu inteleg de ce mereu se trezesc oamneii spunand ca “Windows-ul” e prost si ca Linux-ul e cel mai tare etc.
O sa se intoarca roata pana la urma, si in plus daca stii sa te “protejezi” impotriva acestor virusuri si atacuri nu ai nici o treaba.
Eu personal nu am mai facut cunostinta cu un virus de 2 ani si ceva…
Salut @Adylyk şi mulţumesc pentru comentarii
Sunt de acord cu tine. Transformarea Windows-ului într-un bau-bau nu foloseşte nimănui, cu atât mai puţin utilizatorului obişnuit. Sigur, Linux-ul (şi iau drept exemplu Ubuntu) oferă protecţie suplimentară, dublată în ultimul timp de o îmbunătăţire considerabilă a uşurinţei în exploatare, însă pentru cineva care a „crescut” alături de Microsoft Windows aceste avantaje (mai mult sau mai puţin vizibile) nu prea contează şi are nevoie de măsuri concrete de protecţie, de securizare (atât cât se poate) a sistemelor de operare Microsoft.
@Adylyk
Aia se incadreaza la categoria hateri, trolli sau fanboys. Nu folosesc la nimic nimanui, dar exista.
Ca utilizator de Linux (Ubuntu ultimele 7 luni), nu sustin niciodata ca un OS ar fi mai bun sau mai slab decat altul. Cu atat mai putin pe partea de securitate unde e evident ca Linux doar pare mai sigur (da, are chestia cu permisiunile si root, dar ceva de genu exista si in Windows), dar pare asa doar pt ca nu sunt facute publice toate gaurile – in ultimul timp vad tot mai multe updateuri aparute pe partea de securitate la Lucid Lynx.
Pentru mine, momentan Ubuntu e mai bun ca 7 doar pt ca se potriveste mai bine nevoilor mele. Dar pot renunta la Windows 7 definitiv? Raspuns simplu: am platit o licenta pt Ultimate.
Binenteles ca petru cei care s-au obisnuit cu Linux e floare la ureche, dar nu pot spune ca nu stiu cu ce se mananca.
Momentan raman la Windows….cu toate problemele lui…E ca o Dacie, daca se defecteaza sti (mereu) ce are si o repari.
Am studiat ambele sisteme la care se face referinta si tin sa va spun ca nu e deloc sigur linuxul decat la virusii de windows ca in rest iti umbla toti(cei mai initiati) prin calculator fara ca tu macar sa ai habar.Firewallul vine dezactivat,iar ca sa-i faci setari adevarate pai trebuie sa fii programator.(suporta setari avansate,dar cine le face).In rest au aparut cica AV ptr linux dar zau ca nu functioneaza.Macar pe windows ma simt in siguranta in spatele lui COMODO setat dupa experienta mea.
@axelluny: Firewallul NU vine dezactivat ! Depinde ce distribuție ai încercat tu ! Iar configurarea la firewall este foarte simplă ! Ca să afirmi că: “iti umbla toti(cei mai initiati) prin calculator fara ca tu macar sa ai habar” … trebuie să şi faci dovada asta. În Windows eşti mai rapid NeProtejat decât în Linux şi asta nu o spun eu ci statisticile şi cei care cunosc mai multe ca noi …