2010年7月22日星期四

新的攻擊手法

目前是還沒有在台灣有看到過。

不過既然新聞稿發那麼大並且也有實際的樣本出現了
那就大概提一下

這一個攻擊手法就目前來說也有透過隨身碟
但危害度比以往的AUTORUN.INF和偽裝資料夾要危險多了

轉貼PTT KarasuTW所提供的資料


微軟正在調查一起針對 Windows 殼層弱點進行的侷限且針對性的攻擊
攻擊者利用變造的捷徑檔,令目標系統在顯示出捷徑指定的圖示的時候
執行任意程式碼,攻擊者將獲得與目前本地使用者相當的權限。


攻擊案例:在隨身碟內植入帶有惡意程式的檔案 (應該可以是任意副檔名)
然後在根目錄植入特製捷徑檔,一待使用者瀏覽此隨身碟的根目錄
顯示出該捷徑檔的圖示時,惡意程式隨即執行。
亦可利用共享資料夾進行此攻擊。


影響範圍:WinXP SP3 ~ Win7、Win 2003 SP2 ~ Win 2008 R2 均受影響

是的,就目前的所有主流Windows全部躲不過
但更危險的是他並不需要使用者點擊或透過特殊方式進行攻擊
他只要使用者有開那個惡意程式所在的資料夾並且看到圖示就直接進行攻擊

簡單說就是看到圖就中啦...
就和你走在路邊看到一隻會咬人的狗,你只是經過看到他而已結果就被他咬這樣..

目前這一篇發佈的時候微軟還沒有提供相關的安全性更新進行修正
可能再等幾天吧....

目前的暫時處理方式
同樣轉貼PTT KarasuTW所提供的資料


應變方案:
1. 停止為捷徑檔顯示指定的圖示:
將 HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler 預設值的資料清空
然後重開機或是重啟 explorer.exe
此選項的影響是所有捷徑都會顯示系統內建的統一圖示。



2. 停止 WebClient 服務
將 WebClient 啟動類型改為已停用,並停止 WebClient 服務運作
WebDAV 和所有明示依賴 WebClient 服務的應用程式都將無法運作。

這兩種都是暫時的解決方案
這邊EFIX不會增加項目做處理,因為這只是暫時性方案而已
只是以很多人不喜歡更新這一點來說
勢必需要做一個提示上去就是.

目前手頭上也看到樣本了,感謝AVPCLUB Upside提供
不過由於目前沒看到相關感染案例,所以並不會馬上加到清單內
等真的有碰到再說....