Skoči na vsebino
Varnostna obvestila /

SI-CERT 2010-04 / Windows LNK kritična ranljivost

Opis

Windows družina operacijskih sistemov vsebuje ranljivost pri obravnavi bližnjic (shortcut, datoteke s podaljškom LNK), ki napadalcu lahko omogoči zagon poljubne podtaknjene programske kode. Gre za t.i. 0-day ranljivost, kar pomeni, da se že aktivno izrablja, čeprav še ni na voljo uradnega popravka. Ranljiv je tudi Windows 7 operacijski sistem z nameščenimi vsemi popravki.

Do zagona kode pride pri prikazu bližnjice (recimo z Windows Explorer ali Total Commander programoma), če pa je na računalniku nastavljen Autorun samodejni zagon programov, lahko do zagona kode pride tudi brez posredovanja uporabnika.

Na omrežju se ranljivost aktivno uporablja za namestitev gonilnikov mrxnet.sys in mrxcls.sys, ki zlonamerno kodo injicirata v sistemske procese in skrijeta datoteki, tako da na USB pogonih nista vidni. Gonilnika sta bila podpisana s sicer veljavnim digitalnim podpisom podjetja RealTek, ki pa mu je potekel rok veljavnosti. V drugem primeru je bil uporabljen veljavni podpis podjetja JMicron Technology Corp.

Analiza kode, ki se aktivno širi je pokazala, da vsebuje komponento za dostop do Simatic WinCC in PCS7 sistemov podjetja Siemens. Gre za t.i. SCADA sisteme (Supervisory Control and Data Acquisition), ki so namenjeni upravljanju in nadzoru industrijskih procesov, elektrodistribucije ipd.

Protivirusna podjetja sporočajo, da so dodala omenjeno kodo v baze znanih virusov. 

Metode širjenja

Okužba se širi preko USB ključev in map v skupni rabi.

Ranljive verzije

  • Microsoft Windows 7
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2008
  • Microsoft Windows Storage Server 2003
  • Microsoft Windows Vista
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional

Rešitev

Microsoft je izdal uradni popravek MS10-046

Posodobljeni protivirusni program lahko zaznajo in preprečijo namestitev zlonamerne kode. Uporabnikom Siemensove programske opreme Simatic svetujemo, da obiščejo uradno Siemensovo stran z opisom problema in navodili za ukrepanje.

Povezave 

Zadnji popravek: 3. 8. 2010

Preberite tudi

Varnostna obvestila /

SI-CERT 2025-03 / Več VMware ranljivosti

Izraba verige treh ranljivosti napadalcem omogoča prehod iz virtualnega sistema v gostiteljski sistem (t.i. VM Escape). Po podatkih proizvajalca naj bi se ranljivosti že izrabljale v posameznih napadih.
Več
Varnostna obvestila /

SI-CERT 2025-02 / Okužbe s kombinacijo tipk v lažnih CAPTCHA preverjanjih

Zlorabljena spletna stran zahteva izpolnitev lažnega CAPTCHA obrazca prek kombinacije na tipkovnici Win + R, Ctrl + V in Enter. V primeru izvedbe teh pritiskov na tipkovnici, pride do okužbe računalnika
Več
Varnostna obvestila /

SI-CERT 2025-01 / Prevzemi in kreiranje Telegram računov brez vednosti uporabnikov telefonskih številk

Že nekaj mesecev obravnavamo primere ustvarjanja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade.
Več