- notageek.it di Mirko Iodice - http://www.notageek.it -

Vulnerabilità Windows Shell .LNK (CVE-2010-2568)

Security Advisory (2286198) [1] - si tratta di una vulnerabilità 0day molto pericolosa poiché permette l'esecuzione di codice arbitrario ed è sfruttabile sia in locale che da remoto, un attacco portato a termine utilizzando questa vulnerabilità può considerarsi piuttosto affidabile e ciò che lo rende possibile è un difetto di design della procedura di estrazione delle icone che Windows Shell (shell32.dll) associa ai file .LNK (i collegamenti). Tutte le versioni di Windows sono affette da tale problema.

La vulnerabilità può essere sfruttata sia in attacchi mirati che di massa, BlackHat e Virus Writers hanno la possibilità di impiegarla al fine di creare meccanismi di diffusione ed auto-replicazione di Worm e Backdoor, il sistema operativo viene compromesso con la semplice visualizzazione (non servono clic) di un collegamento che può essere contenuto all'interno di una memoria USB, unità locali e di rete, pagine web, e-mail ed altri documenti che supportano l'inclusione di collegamenti... le possibilità sono veramente tante.

Fino a questo momento il bug sembra essere stato impiegato quasi esclusivamente in attacchi mirati di spionaggio industriale ma, dal momento che sono già disponibili un proof of concept pubblico [2] ed un modulo per metasploit framework [3], molti sostengono che si tratti soltanto di una questione di tempo prima che questa tecnica venga adottata anche per la diffusione dei malware più comuni.

metasploit_ms10_xxx_windows_shell_lnk_execute.png [4]


Workaround e tecniche di mitigazione in attesa di un patch ufficiale

Tecniche di mitigazione:

Soluzioni:

Approfondimenti