LNK漏洞

LNK漏洞

2010年7月16日,Windows捷徑自動執行0day漏洞(微軟安全知識庫編號2286198)被披露,很快網上已經可以找到利用這個漏洞攻擊的樣本。國家計算機病毒應急處理中心已經發現利用此漏洞同時通過移動存儲設備(如:U盤)傳播惡意代碼的攻擊事件出現在網際網路中。

漏洞介紹

微軟lnk漏洞微軟lnk漏洞

利用Windows捷徑自動執行0day漏洞可以做到:看一眼惡意軟體就中毒,而根本不需要去執行它。這個漏洞將會被廣泛使用,網民須高度重視。

攻擊者利用Windows捷徑自動執行0day漏洞,可以製作一個特殊的lnk檔案(LNK是捷徑檔案的擴展名),當Windows解析這個LNK檔案時,會自動執行指定的惡意程式。這個漏洞最佳利用通道是隨身碟移動硬碟數碼存儲卡,也可以是本地磁碟或網路已分享檔案夾,當隨身碟或網路已分享檔案夾存在這樣的攻擊程式時,只需要使用資源管理器,或與資源管理器類似的應用程式查看這個資料夾,不需要手動運行病毒程式,病毒自己就會觸發。

這個漏洞最令人吃驚的地方在於,“不需要雙擊病毒檔案,僅看一眼檔案圖示就中毒”。幾年前,曾經有個叫“新歡樂時光VBS.KJ)”的病毒廣為流傳,VBS.KJ病毒會在每個資料夾下生成desktop.ini和folder.htt檔案(這兩個檔案控制了資料夾在資源管理器中的顯示)。只要打開被病毒修改過的含有desktop.ini和folder.htt的資料夾,不需要雙擊病毒,看一眼就中毒。現在和新歡樂時光傳播類似的病毒將要出現了,儘管我們現在還沒有看到很多病毒作者利用Windows捷徑漏洞傳播,但相信這種病毒攻擊一定會有。

Windows捷徑自動執行0day漏洞存在所有流行的Windows版本,包括尚未公開發布的Windows 7 SP1 beta和Windows 2008 R2 SP1 beta。意味著,這個風險幾乎遍布所有安裝了Windows的電腦。

解決方案

防止這個漏洞被利用,微軟方面提供了幾個暫時緩解的方案:

1.關閉捷徑圖示的顯示,不過這會讓Windows界面變得奇醜,因為一個個漂亮的桌面圖示和開始選單圖示全都不顯示了。

a.在“開始”-“運行”中輸入regedit.exe,打開註冊表。

b.定位到註冊表HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler。

c.右鍵IconHandler選擇導出,並保存為IconHandlerbak.reg。

d.重啟EXplorer或者重啟電腦即可,不過在我測試看來桌面變的慘不忍睹。

2.建議企業用戶關閉WebClient服務,個人用戶(一般不使用網路共享資源)可以不必考慮這個問題。

a.在“開始”-“運行”中輸入“Services.msc”,打開服務控制臺

b.找到“WebClient”服務項,如果其正在運行狀態中,請先將其關閉,之後修改啟動類型為“已禁用”。

此方案所帶來的影響:WebDAV請求將不會被傳輸,另外任何明顯依賴於“WebClient”服務的其它服務項會受到影響。

3.關閉隨身碟自動播放可以避免插上隨身碟的動作就中毒,只有手動查看資料夾才有風險。

4.以受限用戶許可權運行計算機可以降低風險。

對於喜歡使用各種Windows美化版的用戶來說,可能麻煩更大一些,這些美化版大都修改了shell32.dll,針對這個Windows捷徑自動執行0day漏洞的修補程式,可能去修補shell32.dll,可能會讓這些美化版出現一些問題。倘若這些真的發生了,那些使用美化版的盜版Windows用戶也許會拒絕這個重要的安全補丁,從而加劇利用此漏洞的病毒傳播。

影響範圍

微軟官方漏洞公告說,Windows XP以後的所有作業系統(包括Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008的各個版本)均受此影響,在中國,這樣的計算機大約有2-3億台。

這個漏洞是2010年7月16日被發現的,到下一個微軟的例行漏洞修復日,還有2-3周的時間。而用戶安裝補丁也需要時間,一直存在很多電腦不打補丁的情況。

據金山毒霸安全實驗室分析,在中國存在大量美化版的盜版Windows,這些盜版Windows可能出現打補丁後,圖示顯示異常,用戶也許會排斥補丁程式。這些因素可能導致較多電腦長期置身於lnk漏洞(捷徑漏洞)的危險之中。

相關詞條

相關搜尋

熱門詞條

聯絡我們