Genvejsikoner udnyttes til at sprede ny Windows-orm via USB-drev

Microsoft advarer om en ny type orm, som udnytter en sårbarhed i Windows til at sprede sig via USB-drev. Ormen udnytter den måde, hvorpå Windows fortolker ikoner til genveje.

Microsoft har udsendt en sikkerhedsadvarsel om en ny type orm, som lige nu spreder sig hovedsageligt i Asien og Mellemøsten. Ormen udnytter en ny sårbarhed i Windows til at inficere pc'er via USB-drev.

Microsoft har døbt ormen Stuxnet. Den inficerer USB-baserede lagermedier, hvilket omfatter alle typer USB-lagermedier som kan browses på normal via Windows Stifinder.

Det vil sige, at det ikke kun er USB-nøgler, men potentielt også mobiltelefoner og MP3-afspillere, som kan udnyttes af ormen.

Stuxnet-ormen udnytter ifølge Microsoft en sårbarhed i den måde, hvorpå Windows fortolker genveje eller shortcuts.

Problemet er, at genvejen bliver fortolket, når Windows skal vise ikonet for en genvej i en mappe. Hvis man har Windows' AutoPlay-funktion slået til, så kan ormen altså helt automatisk forsøge at inficere systemet, fordi Windows vil åbne rodmappen på lagermediet.

Det er netop truslen fra USB-lagermedier, som fik Microsoft til at sætte særlige restriktioner for AutoPlay i Windows 7. Hvis brugeren kører Windows 7 eller har Autoplay slået fra, så skal brugeren selv vælge at få åbnet rodmappen, før ormen kan køre.

Stuxnet er klassificeret som en orm, fordi den kan sprede sig til andre eksterne lagermedier, som bliver sluttet til en inficeret pc. Men selve sårbarheden er ikke i sig selv af sådan en art, at den kan udnyttes til at lave en orm, som kan sprede sig helt uden brugerindblanding. Den er begrænset til at blive spredt via eksterne drev, nøjagtigt ligesom 1980'ernes og 1990'ernes diskettebårne computervirusser.

Ifølge Trend Micro anvender Stuxnet også et rootkit til at skjule sig på de pc'er, den inficerer. Microsoft oplyser, at selskabet har fulgt Stuxnet gennem den seneste måned, og der er udsendt antivirussignaturer, som kan beskytte mod ormen, og Microsoft har også delt de tekniske oplysninger med dets sikkerhedspartnere.

Sikkerhedshullet i Windows er endnu ikke lukket, men Microsoft oplyser, at selskabet arbejder på en løsning.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Svend Matthiesen

som jeg har læst informationerne, så er problemet ikke knyttet til autoplay, men til oversigterne i fx Explorer, hvor de vises med programspecifik logo

det gælder dermed formentlig også CD/DVD/... og alt andet hvor indholdet kan vises i Explorer med programlogo ud for filnavnet

  • 0
  • 0
Jesper Stein Sandal

Nej, Autoplay er ikke problemet. Men Autoplay kan gøre det værre, fordi brugeren med Autoplay ikke behøver manuelt at åbne mappen.

I praksis er det dog nok begrænset, hvor mange situationer der vil være, hvor brugeren indsætter en USB-lagerenhed uden også at åbne mapperne.

Men man kunne for eksempel skulle kopiere filer fra pc'en over på en USB-nøgle. I det tilfælde kunne man trække filen direkte over drevet uden at åbne mappen.

Jeg er heller ikke helt sikker på, at sårbarheden kan udnyttes, hvis du eksempelvis gemmer eller åbner filer på lagermediet direkte fra en applikation. Det vil nok afhænge af, hvilken fildialoggrænseflade, man benytter.

  • 0
  • 0
Peter Kruse

altså, Microsoft.

Det forekommer mig uheldigt at man opretter to usikre COM objekter, der kan læse filer ud af systemet og fra shares på den måde. Men faktum er, at denne sårbarhed, som Microsoft selv kalder den, faktisk mere er en feature, da den med fuldt overlæg er introduceret, og altså ikke bliver en sårbarhed som sådan - i den rigtige definition ...

Og så tror jeg lige, at man for gå orden skyld skal fjerne forvirringen omkring autorun.

Fejlen introduceres igennem explorer libs og alle værktøjer - mest prominent Windows Explorer, som viser indhold, hvor en særligt udformet .LNK fil befinder sig. Autorun er, hvis den er slået til, ikke afhængig af .LNK sårbarheden, da den fint selv kan køre kode fra USB eller andet flytbart medie. Det viste Conficker/Downadup med stor tydelighed :-)

Venligst Peter Kruse

  • 0
  • 0
Log ind eller Opret konto for at kommentere