Tietoturva nyt!

16.7.2010

Windows Explorerin korjaamatonta haavoittuvuutta hyödynnetään hyökkäyksissä

Windows-käyttöjärjestelmän tavasta käsitellä LNK-päätteisiä oikopolkutiedostoja on löydetty haavoittuvuus.
Korjaamatonta haavoittuvuutta hyödyntävä haittaohjelma leviää saastuneiden USB-massamuistien välityksellä. Autorun/Autoplay-toiminnon käytöstä poistaminen ei estä haittaohjelman leviämistä.

Windows-käyttöjärjestelmistä löytynyttä ja toistaiseksi korjaamatonta haavoittuvuutta hyödynnetään haittaohjelman levittämiseksi. Haavoittuvuus on liitetty erityisesti USB-massamuisteilla oleviin oikopolkutiedostoihin, eikä Autorun/Autoplay-toiminnon estäminen suojaa saastumiselta.

CERT-FI:n saamien tietojen mukaan haavoittuvuutta hyödynnetään teollisuusautomaatiojärjestelmiä vastaan räätälöidyn haittaohjelman levittämiseen USB-massamuistien välityksellä. Haittaohjelma pyrkii piiloutumaan nk. rootkit-toimintojen avulla. Poikkeuksellista nyt havaitussa haittaohjelmassa on se, että sen tiedostot on digitaalisesti allekirjoitettu tunnetun puolijohdekomponenttivalmistajan aidoilla varmenteilla. Tällä hetkellä ei ole tietoa, miten allekirjoitusavain on saatu haltuun.

Haittaohjelman tartunnan voi välttää päivittämällä virustorjuntaohjelmiston sormenjälkitunnisteet ja tarkistamalla kaikki tietokoneeseen liitettävät ulkoiset mediat. Seuraava tiedossa oleva Microsoftin korjauspäivitys on 10.8.2010. CERT-FI tiedottaa asiasta, mikäli Microsoft julkaisee haavoittuvuuteen korjauksen normaalin päivtysaikataulunsa ulkopuolella.

Lisätietoa

• http://www.cert.fi/haavoittuvuudet/2010/haavoittuvuus-2010-106.html
• http://anti-virus.by/en/tempo.shtml
• http://www.h-online.com/security/news/item/Trojan-spreads-via-new-Windows-hole-1038992.html