Tietoturva nyt!

22.1.2009

Haittaohjelmat ja Windowsin Autorun-toiminnallisuus

Autorun-toiminnallisuuta hyödynnetään myös haittaohjelmien levittämisessä

Windows-käyttöjärjestelmien yleisimmin käytössä olevat versiot sisältävät niin sanotun Autorun-toiminnallisuuden. Autorun- ja siihen läheisesti liittyvä AutoPlay-toiminto on tarkoitettu muun muassa siirrettävillä tallennusvälineillä (CD-levyt, USB-massamuistilaitteet, verkkoasemat ym.) jaeltavien sovellusten automaattiseen käynnistämiseen ja asentamiseen, kun tallennusväline tai massamuistilaite liitetään Windows-järjestelmään. Tätä toimintoa voidaan käyttää kuitenkin myös haittaohjelmien levittämiseen. Esimerkiksi Conficker (tunnetaan myös nimellä Downadup) -mato käyttää leviämisessään hyväksi muun muassa Autorun-toiminnallisuutta. Kun madon saastuttama muistilaite liitetään järjestelmään, jossa Autorun-toiminnallisuus on kytkettynä päälle kyseiselle muistilaitetyypille, mato saattaa saastuttaa työaseman, jos sisään kirjautunut käyttäjä omaa riittävän korkean käyttöoikeustason.

Autorun-toiminnallisuuden poistamista käytöstä kaikilta asemilta ja muistilaitetyypeiltä pidetään usein hyvänä tietoturvakäytäntönä. On kuitenkin tärkeää huomioida, että kyseisen toiminnallisuuden sammuttamisella saattaa kuitenkin olla myös ei-toivottuja vaikutuksia tapauksissa, joissa tallennusvälineeltä halutaan asentaa ohjelmistoja tai käyttäjä ei tiedä miten liitetyn muistilaitteen sisältöön pääsee käsiksi.

Autorun-toiminnallisuus voidaan poistaa käytöstä kaikilta muistilaitetyypeiltä muokkaamalla Windowsin rekisteriä tai ryhmäkäytäntöasetuksia Microsoftin artikkelissa (Microsoftin tukiartikkeli KB953252) kuvatulla tavalla. Artikkelissa kuvattujen asetuksien vaikutuksia on muutettu taannoin. Artikkelissa kuvattu asetusmuutos ei poista AutoPlay-osatoiminnallisuutta käytöstä järjestelmissä, joissa ei ole asennettuna artikkelissa mainittua päivitystä KB950582. Tämä päivitys kuuluu Windows 2008 ja Vista -järjestelmissä päivityspakettiin MS08-038 (CERT-FI haavoittuvuustiedote 087/2008). Windows 2000, XP ja 2003 -järjestelmiin päivitys on asennettava manuaalisesti, jotta artikkelissa kuvattu Autorun-toiminnallisuuden poistaminen kytkisi myös AutoPlay-toiminnon pois päältä. Jos Autorun-toiminto on kytketty pois päältä, mutta kyseistä päivitystä ei ole asennettu työasemaan käyttäjä saattaa:

• verkkoasemaan yhdistämällä,
• seuraamalla tallennusvälineen kuvaketta Windows Explorerissa tai
  
• valitsemalla AutoPlay-dialogista harhaanjohtavalla hyökkääjän valitsemalla kuvaustekstillä varustetun vaihtoehdon

tulla tahtomattaan suorittaneeksi Windows-järjestelmän liitetyllä muistilaitteella olevan sovelluksen tai haittaohjelman. Tämä ei välttämättä ole selvää käyttäjälle. Käyttäjä saattaa olettaa kaikkien sovelluksia automaattisesti muistilaitteilta käynnistävien ominaisuuksien olevan pois päältä ja tyypillisesti aseman tai kansion kuvakkeen klikkaamisen oletetaan asemalla olevan sovelluksen suorittamisen sijaan näyttävän aseman sisällön.

Pitämällä huoli, että edellä mainittu päivitys KB950582 on asennettuna, saa kaikki muistilaitteilta automaattisesti sovelluksia käynnistävät toiminnot kytkeyttyä pois päältä muokkaamalla Windowsin rekisteriä tai ryhmäkäytäntöasetuksia Microsoftin artikkelissa KB953252 kuvatulla tavalla. Lisätietoja aiheesta löytyy US-CERT:n artikkelista TA09-020A.

Lisätietoa

http://support.microsoft.com/kb/953252

http://www.us-cert.gov/cas/techalerts/TA09-020A.html

http://isc.sans.org/diary.html?storyid=5695

http://www.publicsafety.gc.ca/prg/em/ccirc/2008/tr08-004-eng.aspx