LNKエクスプロイトに関するその後の分析 - ITmedia エンタープライズ(情報元のブックマーク数)
LNKのExloitが出ているそうで、SCADAシステムを標的にしているとの事。実際にrootkitが落ちるみたいだがRealtekのシグニチャが使用されているとの事・・・
Windowsショートカットに存在する、これまで知られていなかった欠点を利用することでUSBストレージデバイスを介して広がる、新たな脅威が登場した。
LNKエクスプロイトに関するその後の分析 - ITmedia エンタープライズ
われわれは同ショートカットLNKエクスプロイトの検出を「Exploit:W32/WormLink.A」として追加した。このケースで使用されるショートカットファイルは4.1Kバイトだ。Trojan-Dropper、バックドア、ルートキットと結びついたファイルは、Stuxnetファミリーとして検出される。
われわれは昨日、2つの興味深い点に言及した。同ルートキットが署名されているという点、SCADAシステムを標的としているという点だ。
同ルートキットコンポーネントは、デジタル署名されており、われわれは有効なRealtek Semiconductor社のシグネチャが使用されていることを確認した。Trojan-Dropper自身は、デジタル署名をコピーしようとするだけなのに対して、ドロップされるドライバは適切に署名されている。
回避策の設定
As I’ve used Software Restriction Policies (SRP) on several occasions in my blogposts, and several people have suggested using SRP to protect against .LNK exploitation as an alternative to Ariad, I’ll describe how to configure SRP for the first time on a workstation that is not a member of a domain. For domain members, you have to configure SRP in the GPO on the domain controller.
Mitigating .LNK Exploitation With SRP | Didier Stevens
FixITが出ているそうです。
Windowsのショートカット処理に関する未解決の脆弱性が見つかった問題で、米Microsoftは7月20日付でセキュリティアドバイザリに新たな情報を追加するとともに、当面の攻撃を食い止めるための一時的な措置を自動的に実装できる「Fix It」機能の提供を開始した。
MSが未解決の脆弱性問題で「Fix It」を提供――攻撃の回避措置を自動実装 - ITmedia エンタープライズ
脆弱性はWindows Shellでショートカット(.LNK)を処理する際の問題に起因する。この問題を突いた攻撃の手段として、不正な.LNKファイルをUSBメモリなどのリムーバブルメディアに仕込んだり、WebDavやネットワーク共有を利用する方法が挙げられていた。
改訂版のアドバイザリーではさらに、Microsoft Officeなどショートカットの組み込みに対応した文書に悪用コードを仕込む手口も使われる可能性があることを明記した。
FIX itを適用するとスタートメニューのアイコンが白くなるそうだ。
マイクロソフトは2010年7月21日、Windowsに見つかった新しい脆弱(ぜいじゃく)性を悪用されないようにするツール「Fix it」を公開した。ショートカットファイルのアイコンを表示しないようにして、脆弱性の悪用を防ぐ。スタートメニューなどのアイコンが白くなるといった“副作用”が発生するので注意。元の状態に戻すためのツールも公開されている。
Windowsの「ゼロデイ脆弱性」に回避策、ただし“副作用”に注意 | 日経 xTECH(クロステック)
関連URL
- Windows Shellのゼロデイ脆弱性の概念実証コードが公開 : セキュリティ・マネジメント - Computerworld.jp
- Windowsのゼロデイ攻撃を実行するウイルス見つかる、現在も修正パッチの提供なし - ニュース:ITpro
- Update on Security Advisory 2286198 - F-Secure Weblog : News from the Lab
- Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution
- マイクロソフト セキュリティ アドバイザリ (2286198): Windows シェルの脆弱性により、リモートでコードが実行される
- Windowsのショートカット脆弱性を悪用する「Stuxnet」を各社が警告 -INTERNET Watch
- Windowsに新たな脆弱性、アイコンを表示するだけでウイルス感染:ニュース
- Update on Security Advisory 2286198 - F-Secure Weblog : News from the Lab
- New zero-day "shortcut worm" vulnerability affects all Windows versions
- Mitigating .LNK Exploitation With SRP ≪ Didier Stevens
- Security Advisory 2286198 Released - The Microsoft Security Response Center (MSRC) - Site Home - TechNet Blogs
- ScanNetSecurity - 緊急:Windowsに細工されたショートカットでコードを実行される脆弱性(JVN)
- Twitter / 辻伸弘 (nobuhiro tsuji): Windowsシェルにおけるショートカットファイル処 ...
- Windows シェルにおけるショートカットファイル処理の脆弱性(CVE-2010-2568)に関する検証レポート:脆弱性検証レポート|NTTデータ・セキュリティ株式会社
- 未解決のWindowsの脆弱性を突く攻撃コード出現、SANSが警戒レベルを引き上げ - ITmedia エンタープライズ
- Computer Security Research - McAfee Labs Blog
- LNK zero-day, the fundamentals - Securelist
- US-CERT Current Activity
- Vulnerability in Windows "LNK" files?
- Windowsに新たな脆弱性、標的型攻撃の発生も - ITmedia エンタープライズ
- Zero-Day Vulnerability in Windows Shell - F-Secure Weblog : News from the Lab
- エフセキュアブログ : LNKエクスプロイトに関するその後の分析
- エフセキュアブログ : ついに標的に狙われたSCADAシステム
- Windowsの脆弱性悪用の攻撃にSiemensが注意喚起、パスワード変更は推奨せず - ITmedia エンタープライズ
- SecuriTeam Blogs ≫ Microsoft LNK exploit
- Microsoft LNK Vulnerability Brief Technical Analysis(CVE-2010-2568) - Security Labs
- エフセキュアブログ : 署名されたStuxnetバイナリの新種
- エフセキュアブログ : 「セキュリティ アドバイザリ(2286198)」を更新
- Windowsショートカット脆弱性、Office文書内でも悪用可能なことが判明 | RBB TODAY (エンタープライズ、セキュリティのニュース)
- 「文書ファイルを開くだけでも被害」――Windowsのゼロデイ脆弱性:ニュース
- Bloodhound.Exploit.343 | Symantec
- 「Windowsのゼロデイ脆弱性」を悪用するウイルスが続々出現:ニュース
- Bloodhound.Exploit.346 | Symantec