Share via

Päivitys Security Advisoryyn 2286198

  • Article

Viime viikolla julkaistua, Windowsin Shellissä olevaa pikakuvakkeiden käsittelyyn liittyvää Security Advisoryä 2286198 on päivitetty viime yönä. Haavoittuvuushan liittyy siihen, miten Windows käsittelee pikakuvakkeihin liittyviä tietoja, ja saattaa antaa vihamieliselle hyökkääjälle mahdollisuuden suorittaa haluamaansa ohjelmakoodia kohteena olevassa järjestelmässä. Advisoryn päivitys liittyy kolmeen eri osa-alueeseen:

  • Jo Advisoryn alkuperäisessä versiossa mainittiin, että haavoittuvuuden hyödyntämisen voi estää poistamalla Windowsin rekisteristä IconHandler-luokan rekisteröinti. Microsoft on julkaissut ns. FixIt-komponentin, jonka avulla näiden muutosten tekeminen voidaan automatisoida. FixIt-komponentti ja siihen liittyvät tarkemmat tiedot löytyvät KB-artikkelista 2286198. Sivuilta löytyy myös linkki sekä komponenttiin, joka poistaa rekisteröinnin tekemällä tarvittavat muutokset Windowsin rekisteriin, että komponenttiin, joka palauttaa muutokset takaisin. Molemmat ovat .MSI-paketteja, ja ne voidaan suorittaa joko suoraan ym. webbisivulta tai sitten isommissa ympäristöissä jakaa työasemiin esimerkiksi Active Directoryn välityksellä. On huomattava, että muutokset vaikuttavat myös muiden kuvakkeiden, mm. Windowsin tehtäväpalkin ja Käynnistä-valikon kuvakkeiden näkymiseen, ja ne saattavat vaikuttaa kuvakkeiden näkymiseen myös muualla, joten kuten KB-aritkkelissa mainitaan, kannattaa testata muutosten vaikutus ennen niiden jakelemista. On huomattava, että näiden rekisterimuutosten tekeminen estää tämän hetkisen tiedon mukaan haavoittuvuuden hyödyntämisen, joten jos muutos otetaan käyttöön, ei muita alkuperäisen Advisoryn Workarounds-kohdassa mainittuja haavoittuvuuden aiheuttaman riskin pienentämiseen tähtääviä keinoja tarvitse välttämättä enää ottaa käyttöön.
  • Yksi uusi keino pienentää haavoittuvuuden aiheuttamaa riskiä on estää .LNK- ja -PIF-tiedostojen lataaminen Internetistä. Tämä ei estä haavoittuvuuden hyödyntämistä kohdejärjestelmässä, mutta pienentää riskiä, koska järjestelmään ei voida Internetin välityksellä ladata vihamielisen hyökkääjän kontrollissa olevaa tiedostoa, jossa hän välittää järjestelmään suoritettavaksi haluamaansa ohjelmakoodia. Lisätietoja on Advisoryn kohdassa Workarounds.
  • Advsoryssä mainittiin, että vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta esimerkiksi USB-muistitikkujen tai verkkolevyjen välityksellä. Nyt uudeksi hyökkäysvektoriksi mainitaan myös tiedostot, joihin voidaan upottaa pikakuvakkeiden määrittämiseen tarkoitettuja tiedostoja (.LNK- ja .PIF-tiedostot). Tällaisia tiedostoja ovat esimerkiksi Office-tiedostot. Vihamielinen hyökkääjä voi hyödyntää tätä hyökkäysvektoria luomalla tietyllä tavalla muotoillun tiedoston ja sen jälkeen houkuttelemalla käyttäjän avaamaan tiedoston joko webbisivun tai esimerkiksi sähköpostin välityksellä.

Microsoftin Security Response Center jatkaa tilanteen seurantaa. Lisätietoja aiheesta löytyy MSRC:n webbisivuilta sekä englanninkielisestä Advisorystä.