Sfruttamento del collegamento di Windows: Che cosa è necessario sapere

Microsoft ha rilasciato il Security Advisory 2286198 alla fine della scorsa settimana per risolvere un difetto zero-day appena scoperto che può essere sfruttato semplicemente facendo clic sull'icona di collegamento. Tuttavia, questa guida originale viene messa in discussione dai ricercatori di sicurezza e il codice di exploit è ora disponibile, peggiorando ulteriormente la situazione.

Secondo la consulenza di Microsoft, "La vulnerabilità esiste perché Windows analizza erroneamente i collegamenti in modo tale che il codice può essere eseguito quando viene visualizzata l'icona di un collegamento appositamente predisposto. " Un attacco può sfruttare l'errore e compromettere il sistema o eseguire codice dannoso senza alcun intervento dell'utente aggiuntivo - aggirando anche UAC e controlli di sicurezza di Windows 7.

Microsoft spiega "È probabile che questa vulnerabilità venga sfruttata tramite unità rimovibili. i sistemi con AutoPlay disabilitato, i clienti dovrebbero esplorare manualmente la cartella interessata del disco rimovibile per sfruttare la vulnerabilità.Per i sistemi Windows 7, la funzionalità AutoPlay per i dischi rimovibili viene automaticamente disabilitata. "

[Ulteriori informazioni: Come rimuovere il malware dal PC Windows]

Microsoft sta funzionando - apparentemente con un certo senso di urgenza - su una patch per risolvere questo difetto. Tieni presente, tuttavia, che Windows 2000 e Windows XP SP2 non sono più supportate, quindi non aspettarti una patch per i sistemi operativi Microsoft.

La soluzione alternativa di Microsoft è disattivare la visualizzazione di icone per tutti scorciatoie, oltre a disabilitare il servizio WebClient per impedire l'exploit via WebDAV. Il problema con queste soluzioni alternative è che danneggiano gravemente i sistemi operativi Windows e - per le organizzazioni che si affidano a SharePoint - possono avere un impatto significativo sulla produttività.

Chet Wisniewski, un ricercatore di sicurezza Sophos, dimostra in un post sul blog l'aspetto del sistema Windows come con la visualizzazione di icone disabilitate. Wisniewski descrive una soluzione temporanea alternativa "Il mio consiglio è che, se si dispone di una distribuzione controllata di Windows, è probabile che sappia dove gli utenti eseguono il software approvato, in questo caso è sufficiente creare un oggetto Criteri di gruppo che definisca dove è consentito eseguire il software e se ciò non include le condivisioni di rete, questo ti fornirà un livello equivalente di protezione senza la cattiva idea di trasformare tutte le icone in fogli bianchi. "

Le misure di sicurezza standard per bloccare il traffico non autorizzato con un firewall e per essere aggiornati si applica anche la protezione antimalware sui desktop di Windows. Queste misure offrono un certo grado di protezione, ma al momento non sono sufficienti per proteggersi da questa minaccia.

Mi aspetto che vedremo un aggiornamento fuori banda da Microsoft per risolvere questo problema di sicurezza per il prossimo un paio di settimane prima del prossimo Patch Tuesday.

Puoi seguire Tony sulla sua pagina Facebook, o contattarlo via email all'indirizzo [email protected]. Inoltre, tweets come @Tony_BradleyPCW.