'Microsoft niet doortastend genoeg met AutoRun-advies'

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (0)
Aanbevelen

Gepubliceerd: Donderdag 22 januari 2009
Auteur: Michiel van Blommestein

Conficker blijft om zich heen grijpen, vooral omdat de worm niet alleen meer via het onderhand gepatchte rpc-lek naar binnen komt, maar ook via netwerkmappen en usb-sticks door misbruik te maken van de autorun-functie. Het advies van Microsoft om die functie uit te schakelen, voldoet volgens de ict-beveiligingsinstantie van de Amerikaanse overheid niet.

Deze week trok US-CERT, de cybertak van het Department of Homeland Security van de Amerikaanse overheid, aan de bel omdat de stap-voor-stap aanwijzingen van Microsoft waarmee autorun wordt uitgeschakeld niet volledig zijn.

De AutoRunfunctie is een van de systemen waarmee de worm zich probeert te verspreiden. Het werkt zo: als een besmette drager (bijvoorbeeld een usb-stick) in het systeem wordt gestoken en hiernaartoe wordt genavigeerd, dan worden de instructies in Autorun.inf uitgevoerd. Conficker heeft dat bestand toegevoegd of vervangen, waardoor het de code van de worm uitvoert.

Een extra venijnigheid zit in het bekende dialoogvenster, wanneer AutoPlay is uitgeschakeld, want ook deze is door Conficker lichtelijk aangepast. De functie 'uitvoeren' is vervangen door een knop die aanbiedt om door de mappen en bestanden te browsen, wat onschuldig lijkt. Maar als een argeloze gebruiker hierop klikt, dan worden de Conficker besmettingsroutines gedraaid.

AutoRun kan volgens Microsoft worden uitgeschakeld door de bijbehorende waarde in het register op '0' in te stellen. "Maar de richtlijnen van Microsoft om AutoRun uit te schakelen zijn niet geheel effectief, en dat kan worden gezien als een kwetsbaarheid", zo staat op de site van US-CERT te lezen. Zelfs met die instelling wordt autorun.inf gewoon uitgevoerd als naar de map wordt genavigeerd. Hooguit detecteert Windows het niet meer als media worden omgewisseld. Een tweede methode, het veranderen van de NoDriveTypeAutorun-waarde naar 0xFF, werkt ook niet, want dan komt de bovenstaande truc met het dialoogschermpje om de hoek kijken. Dat is immers niets meer dan het uitschakelen van AutoPlay.

Wat wel werkt volgens US-CERT is het importeren van de volgende waarde via een autorun.reg-bestandje:

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

Conficker (of Downadup, of Kido) zorgt de laatste tijd voor flink wat commotie. De patch tegen de worm is al sinds oktober uit, maar nalatigheid bij het toepassen ervan, zorgt ervoor dat veel systemen kwetsbaar bleven. De schatting was vorige week dat een op de drie systemen kwetsbaar zijn voor de worm. Leveranciers als F-Secure en Trend Micro telden zelf ongeveer 9 miljoen besmette systemen wereldwijd, maar anderen zijn wat conservatiever met cijfers tussen de twee en vier miljoen.

Bron: Techworld

Totaal 0 reactiesLaatste reacties


Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Kostenbesparing voor long tail appsOplossing voor kostenkwesties in VDI. Technologie geschikt voor long tail apps.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)