CERT-FI haavoittuvuustiedote 106/2010

16.7.2010

Haavoittuvuus Windows-käyttöjärjestelmien tavassa käsitellä LNK-tiedostoja

Kohde:	- palvelimet ja palvelinsovellukset - työasemat ja loppukäyttäjäsovellukset	Lisätietoja
Hyökkäystapa:	- paikallisesti - etäkäyttö - ilman käyttäjän toimia	Lisätietoja
Hyväksikäyttö:	- komentojen mielivaltainen suorittaminen	Lisätietoja
Ratkaisu:	- korjaava ohjelmistopäivitys - ongelman rajoittaminen	Lisätietoja

Microsoftin käyttöjärjestelmistä on löytynyt haavoittuvuus, joka mahdollistaa komentojen mielivaltaisen suorittamisen kohdejärjestelmässä. Haavoittuvuus liittyy käyttöjärjestelmien tapaan käsitellä oikopolkuja sisältäviä LNK-päätteisiä tiedostoja.

Käyttäjän avatessa LNK-päätteisen tiedoston, käyttöjärjestelmä avaa samalla sen ohjelman, mihin tiedoston sisällä oleva oikopolku osoittaa. Nyt löydetty haavoittuvuus mahdollistaa oikopolun osoittaman ohjelman avaamisen ilman käyttäjän toimia. Alustavien tietojen mukaan tietyllä tavalla muokatun LNK-tiedoston avulla voidaan oikopolun osoittama ohjelma laukaista pelkästään avaamalla se kansio missä LNK-päätteinen tiedosto sijaitsee. Kyseinen kansio voi sijaita esim. USB-massamuistilla, tietokoneen paikallisella kovalevyllä, tai verkkolevyllä.

Päivitetty 17.7.2010:
Microsoft on julkaissut haavoittuvuustiedotteen asiasta. Haavoittuvuus liittyy käyttöjärjestelmän komentotulkin tapaan käsitellä oikopolkutiedostoja. Haitallinen tiedosto voi sijaita myös verkkolevyllä tai WebDAV-halkemistossa.

Päivitetty 21.7.2010:
Microsoft on päivittänyt haavoittuvuuden kuvausta. Haitallinen oikopolkutiedosto voi sijaita myös www-sivustolla. Mikäli mikäli käyttäjä selailee kyseistä www-sivusto Internet Explorer-selaimella tai tiedostonhallintatyökalulla kuten Windows Explorer, Windows yrittää näyttää oikopolkutiedoston ikonin ja näin suorittaa haittaohjelman.

Haavoittuvuuden voi myös sisällyttää dokumenttiin, joka tukee oikopolkulinkkejä tai selaintoiminteita. Esimerkiksi Microsoft Office -dokumentit tukevat näitä ominaisuuksia.

MS DOS -ohjelmiin liittyvät oikopolkutiedostot ovat PIF-päätteisiä.

Päivitetty 22.7.2010:
Microsoft on julkaissut automaattisen työkalun tarvittavien rekisteriavainten muuttamiseksi.

Päivitetty 27.7.2010:
Haavoittuvuuden hyväksikäyttöä on havaittu tällä hetkellä viiden haittaohjelman toimesta. Kyseiset haittaohjelmat tunnistetaan yleisesti nimillä Stuxnet, Chymine, Vobfus, Sality ja Zeus.

HAAVOITTUVAT OHJELMISTOT:

Päivitetty 17.7.2010:

• Windows XP Service Pack 3
• Windows XP Professional x64 Edition Service Pack 2
• Windows Server 2003 Service Pack 2
• Windows Server 2003 x64 Edition Service Pack 2
• Windows Server 2003 with SP2 for Itanium-based Systems
• Windows Vista Service Pack 1 and Windows Vista Service Pack 2
• Windows Vista x64 Edition Service Pack 1 and Windows Vista x64 Edition Service Pack 2
• Windows Server 2008 for 32-bit Systems and Windows Server 2008 for 32-bit Systems Service Pack 2
• Windows Server 2008 for x64-based Systems and Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2008 for Itanium-based Systems and Windows Server 2008 for Itanium-based Systems Service Pack 2
• Windows 7 for 32-bit Systems
• Windows 7 for x64-based Systems
• Windows Server 2008 R2 for x64-based Systems
• Windows Server 2008 R2 for Itanium-based Systems

Päivitetty 21.7.2010:
Myös vanhemmat käyttöjärjestelmäversiot joiden päivittäminen on lopetettu, kuten Windows XP Service Pack 2 ja Windows 2000, ovat haavoittuvia.

Päivitetty 2.8.2010:
Myös seuraavat käyttöjärjestelmäversiot ovat haavoittuvia:

• Windows 7 Service Pack 1 Beta
• Windows Server 2008 R2 Service Pack 1

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Autorun-toiminallisuuden poistaminen ei ole pätevä rajoitusmenetelmä esim. USB-massamuistien kohdalla.

Päivitetty 17.7.2010:
Microsoft suosittelee rajoitusmenetelmiksi seuraavaa:

• Koska haavoittuvat komennot suoritetaan käyttäjän oikeuksin, älä anna käyttäjille ylläpito-oikeuksia.
• Mikäli Autoplay-toiminto on poistettu käytöstä, käyttäjän täytyy itse avata haittaohjelman sisältävä kansio.
• Estä sisäverkon ulkopuolelle suuntautuva SMB-levyjakoliikenne palomuurissa.
• Estä LNK-päätteisten oikopolkutiedostojen ikonien näyttäminen asettamalla rekisteriavaimen HKEY_CLASSES_ROOT\lnkfiles\shellex\IconHandler arvo tyhjäksi.
• Poista WebDAV-hakemistoihin liittyvä WebClient-palvelu käytöstä.

Päivitetty 21.7.2010:

• Estä LNK- ja PIF-päätteisten oikopolkutiedostojen lataaminen internetistä. Huomaa, että oikopolkutiedostoja voi ladata myös WebDAV-laajennuksen avulla.

Päivitetty 22.7.2010:

• Estä PIF-pääteisten oikopolkutiedostojen ikonien näyttäminen asettamalla rekisteriavaimen HKEY_CLASSES_ROOT\piffiles\shellex\IconHandler arvo tyhjäksi.
• Pidä virustorjuntaohjelmistosi ajantasalla.
• Ohjelmien suorittamista muualta kuin luotetusta sijainnista voidaan rajoittaa Windows AppLocker tai Software Restriction Policies avulla.

Päivitetty 27.7.2010:
Tietoturvayhtiö Sophos on julkaissut ilmaisen työkalun, joka estää haavoittuvuuden hyväksikäytön. Työkalun voi asentaa olemassa olevien virustorjuntaohjelmistojen rinnalle eikä sillä ole huomattavaa vaikutusta käytettävyyteen.

Päivitetty 31.7.2010:
Microsoft on ilmoittanut julkaisevansa korjauksen haavoittuvuuteen 2.8.2010.

Päivitetty 2.8.2010:
Microsoft on julkaissut korjauksen haavoittuvuuteen tiedotteella MS10-046.

LISÄTIETOA:

• http://www.kb.cert.org/vuls/id/940193
• http://www.wilderssecurity.com/attachment.php?attachmentid=219888&d=1279012965

Päivitetty 17.7.2010:

• http://www.microsoft.com/technet/security/advisory/2286198.mspx
• http://blogs.technet.com/b/msrc/archive/2010/07/16/security-advisory-2286198-released.aspx
• http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
• CVE-2010-2568

Päivitetty 21.7.2010:

• Tietoturva nyt! 16.7.2010
• Tietoturva nyt! 17.7.2010
• Tietoturva nyt! 20.7.2010
• http://support.microsoft.com/kb/2286198

Päivitetty 22.7.2010:

• http://support.microsoft.com/kb/310791
• http://technet.microsoft.com/fi-fi/library/cc507878(en-us).aspx
• http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx

Päivitetty 27.7.2010:

• http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html

Päivitetty 31.7.2010:

• http://blogs.technet.com/b/msrc/archive/2010/07/29/out-of-band-release-to-address-microsoft-security-advisory-2286198.aspx

Päivitetty 2.8.2010:

• http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx
• http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

PÄIVITYSHISTORIA:

16.7.2010, kello 10.10: Julkaistu
17.7.2010, kello 10.55: Päivitetty Microsoftin haavoittuvuustiedotteen sisältämillä tiedoilla.
21.7.2010, kello 9.07: Päivitetty kuvausta, haavoittuvia ohjelmistoja, rajoitusmenetelmiä ja lisätietoja.
22.7.2010, kello 11.37: Päivitetty rajoitusmenetelmiä ja lisätty maininta Microsoftin automaattisesta työkalusta.
27.7.2010, kello 9.23: Lisätty tietoa haittaohjelmista ja Sophosin työkalusta.
2.8.2010, kello 20:55 Lisätty tieto ohjelmistokorjauksesta.

Sivua päivitetty 02.08.2010

Tulostusversio