`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Арсен Бандурян

Вам иконки — или троян?

+1010
голосов

Последнюю неделю все живо обсуждают новость, связанную с появлением уязвимости в обработчике иконок в Windows, которая позволяет выполнять произвольный код. Microsoft выпустила Security Advisory еще 16 июля, и за 5 дней обновила его еще два раза.

Вкратце напомню суть. Создавая файл .LNK или .PIF вы можете указать ему иконку из другого файла. Так вот, обнаруженная уязвимость позволяет в проессе визуализации иконки выполнить из этого другого файла код. Всё, что нужно для того, чтобы заразиться - открыть каталог с шорткатом в Windows Explorer / IE или любой другой программе, использующей системный визулизатор иконок Windows (и снова заядлые пользователи FAR/TC многозначительно улыбаются). При этом файл может находиться на локальном или сетевом дискеили вообще WebDAV.

Вот и всё. Принесли вам флешку, вы открыли ее в Explorer - и все. Никаких autorun.inf, никаких .exe и т.д. Одна из разновидностей вируса умудрялась даже устанавливать в систему драйвера, используя украденный сертификат Realtek (уже отозван).

В официальном security advisory от Microsoft рекомендуется следующий способ лечения - отключить парсер иконок, пока не выпустят патч. При этом честно отмечается, что вместо иконок юзер будет видеть белые квадратики, что не очень красиво, зато безопасно (см. заголовок статьи). Как по мне - не самое красивое решение -
без иконок жить неприятно.Но перспектива проверять FAR'ом каждую флешку и бояться открыть что-то не то через интернет тоже не впечатляет. Что можно сделать? Предлагаю рассмотреть другое решение для тех, кого такая ситуация не устраивет. Заодно изучить одну из менее известных функций Windows под названием Software Restriction Policies. Скажу сразу, способ не мой - я его подсмотрел у Didier Stevens - любители всё читать в оригинале могут сразу идти туда.

Software Restriction Policies позволяет указать Windows откуда можно запускать код, а откуда нельзя. Суть проста - запрещаем запуск файлов со всего, что не является разделом локального винчествера.

Для этого запускаем Administrative Tools -> Local Security Policy (secpol.msc) и идем в Security Settings -> Software Restrictions Policies. Данная оснастка MSC работает для не-доменных компьютеров. Для членов домена данную policy нужно внедрять через GPO на доменном компьютере (заодно защитите всех своих юзеров).

Вам иконки — или троян?

Как видно из рисунка, если политик у вас не было - их придется создать. Далее, запрещаем запуск исполняемых файлов отовсюду, кроме локальных разделов жесткого диска. Точнее, мы запретим все, а потом разрешим запускать файлы с локальных разделов:

Вам иконки — или троян?

Вам иконки — или троян?

Аналогично повторяем для дисков D:/E: и т.д. Теперь, нам надо запретить исполнение файлов - создаем запрещающие правила. При этом помним, что иконки могут ссылаться не только на .exe файлы, но и на .dll, поэтому запрещаем все.

Вам иконки — или троян?

Вам иконки — или троян?

И, собственно, запрещаем, переводя Security Level из Unrestricted в Disallowed (фактически, из режима Blacklist в Whitelist):

Вам иконки — или троян?

Вам иконки — или троян?

Для того, чтобы всё это заработало, необходимо сделать logon/logoff. Обратите внимание на комментарий: ПО не будет запускаться, независимо от прав пользователя:

Вам иконки — или троян?

Вот и все. Как по мне - гораздо более комфортный вариант, чем отключение всех иконок. :) А что думаете вы?

+1010
голосов

Напечатать Отправить другу

Читайте также

но если вы это смогли поменять , то что помешает вирусу поменять эти ключи ?
по-моему, увы, не панацея.
хорошо если ошибаюсь, могло стать бы подспорьем в борьбе с "ну нам тут принесли..."

__
В далёкие-далёкие времена, когда байты были битами...

Ну, что бы вирус смог поменять эти ключи, ему нужно хотя бы запуститься. А тут запрет идет. Хотя если запустится из кеша браузера, к примеру, - то...

Вот-вот! В комментах к оригинальному посту Стивенса идет довольно интересная дискуссия и уже намекнули, что надо бы Temporary Internet Files исключить. В моем случае, практически весь /var и /tmp находится на отдельном разделе. Там и своп, и темп, и кеши браузеров и много чего еще. Так что мне с политиками проше. Правда, приходится инсталлеры распаковыввать не в %temp%.
Очень жду патча от MS!

Linux forever!

Ну вот, опять начинается. Как будто в Linux (или любых других ОС) дырок не бывает..
Power OFF Forever!

Mac OS X - рулит!

Согласен, дырка глупая. Но ваши выводы ..поспешны: http://www.h-online.com/security/news/item/Mac-OS-X-vulnerability-left-u...
ОС, с дыркой, которую не пропатчили за 7 месяцев не может рулить.

А как же антивирусы? неужели не срабатывают? А материал сделан очень хорошо. Спасибо. А есть ли удобные программы по работе с политиками? А то столько времени иногда тратить приходится попусту ...

Да антивирусы не только такое, а и не всякий авторан увы ловят...

Agnitum отрапортовал, что Outpost 7.0.2 от этого уже защищает: http://www.internet-security.ru/2010/07/23/outpost-7-0-2_lnk_stuxnet/

В виндовс что, действительно при новом вирусе надо такие пляски с бубном делать?
И после этого говорят что linux труднее в освоении...

и снова заядлые пользователи FAR/TC многозначительно улыбаются

Заядлые пользователи ТС не улыбаются, так как у них по-умолчанию эти самые иконки показываются :)

Конечно Far рулит, но интересно, а как с Vista/Se7en и их UAC? Знаю что авторановые вирусы почти нервно курили в сторонке - им не хватало привилегий заразить систему, хотя другие флешки заражали до перезагрузки исправно. Специально во время командировки на один из заводов тренировался - там этого добра было валом, т.к. локалки у них толком не было и всё все носили на флешках. А ноут коллеги с ХР даже Каспер не спас - орал как резаный минут 15, сколько их он нашел и обезвредил, пока в синий экран не ушёл, а потом вирусяка в системе у него оказалась.

Конечно Far рулит, но интересно, а как с Vista/Se7en и их UAC?

А так же, куча народу этот самый UAC полностью отключает и сидит под администратором...

Не если люди сами себе злобные буратины... Я говорю про нормальных людей, т.к., ИМХО, UAC - это единственное что отличает Висту и Семерку от ХР. Всякие рюшечки типа Аэро это же баловство.

В Advisory написано, что Win7 - "affected".
При этом нигде не написано, что UAC спасает. У меня под семеркой при подключении флешки/мышки/клавиатуры драйвер ставится автоматом, никакого UAC Prompt не возникает. Уверен, если бы он спасал - интернет уже был бы переполнен пресс-релизами от MS на тему "Win7 - единственная защита от флешечной ЧУМЫ!" и им подобным творчеством маркетологов.

Арсен, погодите... Я запутался... иконки или драйвера?

Драйвер не подписаный в майкрософт попробуйте поставить (можно только если при каждой перезагрузке разрешать неподписанные драйвера) - я сам мучался с вай-файкой пока не нашел аналогичный другого производителя, но подписаный.

А иконки грузятся с урезанными правами и в результате саму систему теоритически не заразят, а вот жить и заражать по сетке или другие флешки могут.

Linux is like a wigwam - no windows, no gates, aрache inside!

Это я перепрыгнул через ступеньку в цепочке выводов - одна из разновидностей этой гадости ставит драйвера, подписанные украденным сертификатом RealTek :)
Я так понимаю, что процесс, который рендерит иконки работает из-под аккаунта System, всё-таки. Вообще, меня радует архитектура Windows - у меня стоит Outpost и его Host IPS иногда показывает удивительные вещи, особенно, когда включается механизм DDE.

Кстати, пропатчили наконец-то: http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

Угу, вчера вечером начало приползать по Windows Update :)

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT