Veel aanvallen via shortcut-lek Windows verwacht
Gepubliceerd: Donderdag 22 juli 2010
Auteur: Tonie van Ringelestijn
Securitybedrijven voorspellen grootschalige aanvallen die mikken op het openstaande snelkoppelingsgat in alle Windows-versies. Tot op heden zijn er slechts gerichte aanvallen.
Het SANS Internet Storm Center heeft vanwege het beveiligingslek het dreigingsniveau voor internet voor het eerst sinds juli 2008 opgeschroefd naar 'geel'. SANS stelt dat misbruik van het lek op grote schaal slechts "een kwestie van tijd" is. Er is namelijk proof-of-concept code voor misbruik van dit lek in Windows openbaar gemaakt.
Aan de bel getrokken
Overigens is het dreigingsniveau door SANS weer verlaagd naar 'groen'. Het onafhankelijke security-orgaan stelt namelijk dat het doel van de verhoogde dreigingsmelding is bereikt: bredere bekendheid van het probleem.
Ook Symantec verhoogde de status van zijn Threatcon-barometer. Het bedrijf verwacht ook 'drive-by aanvallen' die misbruik maken van het nieuwe lek. Tot afgelopen weekend hebben er volgens Microsoft alleen gerichte aanvallen plaatsgevonden, met zeker zesduizend pc's als doelwit.
Microsoft werkt aan patch
De nu rondgaande malware, Stuxnet, komt binnen via speciaal aangemaakt kwaadaardige snelkoppelingen. Microsoft heeft dat beveiligingslek al erkend en werkt aan een patch. De Windows-producent heeft alvast een workaround uitgebracht die het gat afdekt, maar dus niet dicht.
Het lek zit in een foute verwerking van die shortcuts door Windows. Het simpelweg bekijken van malafide .lnk-bestanden in een bestandsverkenner zoals Windows Verkenner levert al automatische uitvoering van kwaadaardige code op. Op Windows draaiende applicaties gebruiken de Verkenner ook voor het browsen door en openen van bestanden.
De malafide snelkoppelingen kunnen binnenkomen via een besmette usb-stick, of een gedeelde netwerkschijf of via het internet gedeelde WebDAV-schijven. Laatstgenoemde kan ook aan de orde zijn bij installaties van Sharepoint, Microsofts software voor collaboration.
XP tot en met 7
Alle Windows-versies, van XP tot en met 7 en Server 2008 R2, zijn kwetsbaar. In afwachting van een patch van Microsoft hebben beheerders en gebruikers als enige veilige verdedigingsmogelijkheid het uitschakelen van Windows' weergave van shortcuts. De door Microsoft uitgebrachte workaround verzorgt dat uitschakelen met één muisklik.
