Autorun nu ook dicht op oude Windows

In Windows 7 is autorun voor usb-sticks en -harde schijven al uitgeschakeld, maar de veel door malware misbruikte functie wordt nu ook 'gedicht' voor voorgaande versies. Dat gebeurt automatisch via Microsofts patch-distributiesysteem Windows Update. Het was al mogelijk om handmatig de fix te downloaden om autorun uit te schakelen.

Conficker, Stuxnet

Program manager Adam Shostack van Microsoft roemt het positieve nut van autorun in de praktijk. Hij legt uit dat die functie, ondanks het misbruik door malware zoals de beruchte Conficker-worm, dus niet zomaar was uit te schakelen. Dat heeft Microsoft toen veel kritiek opgeleverd. Ook de recente, geavanceerde Stuxnet-worm gebruikt autorun als één van de vele middelen in zijn arsenaal om bij Windows binnen te komen.

Microsoft heeft in april 2009 al gewaarschuwd dat het de werking van autorun ging aanpassen, ten behoeve van beveiliging, blogt Shostack. Vervolgens is de autorun-beperking in Windows 7 en Server 2008 R2 (release 2) ook uitgebracht voor XP, Vista, Server 2003 en de eerste release van Server 2008.

De nu automatisch verspreide autorun-fix is dus voor die oudere Windows-versies (XP, Vista, Server 2003 en 2008). De fix is volgens Microsoft een belangrijke, maar non-security update. Het bedrijf bestempelt autorun namelijk niet als een kwetsbaarheid.

Uitzonderingen, Linux

De uitschakeling geldt overigens niet voor autorun van programmatuur op optische media, zoals cd's en dvd's. Voor die 'non-shiny' datadragers voert Windows nog wel gewoon de instructies uit in het autorun.inf-bestand.

Verder heeft de autorun-fix geen invloed op de werking van usb-sleutels die de U3-technologie gebruiken voor het starten van portable applicaties (programma's geïnstalleerd op die U3-stick). Ondertussen blijkt Linux ook kwetsbaar te zijn voor autorun-malware.

Het onderstaande filmpje laat zien dat Linux kwetsbaar is voor malware op usb-sleutels.