W systemach z rodziny WINDOWS została znaleziona nowa luka umożliwiająca atakującemu wykonanie złośliwego kodu i w efekcie zainfekowanie komputera ofiary. Luka związana jest z błędem w przetwarzaniu skrótów (plików .lnk) do apletów w panelu sterowania – prawdopodobnie w module odpowiedzialnym za wyświetlanie ikony skrótów. Pierwsze doniesienia pochodzą z białoruskiej firmy VirusBlokAda (www.anti-virus.by). Microsoft potwierdził już informację o występowaniu podatności oraz informuje, że narażone na atak są wszystkie wersje systemu WINDOWS: XP,Vista,7, 2003 Server oraz 2008 Server (http://www.microsoft.com/technet/security/advisory/2286198.mspx)

Opis podatności:

Podatność pozwala zmusić komputer ofiary do wykonania złośliwego kodu w momencie przeglądania folderu zawierającego spreparowany plik skrótu (plik .lnk). Pierwsze doniesienia mówią o infekcjach za pomocą nośników USB – ładowanie kodu następowało podczas przeglądania zawartości dysku. W sieci pojawiły się już informacje o możliwości przeprowadzeniu ataku przez sieć – z wykorzystaniem protokołu WebDAV oraz SAMBA.

Atak udało się pomyślnie odtworzyć w środowisku testowym CERT Polska. Po otwarciu folderu zawierającego spreparowany plik .lnk nastąpiło załadowanie wskazanego pliku .dll oraz wykonanie kodu w nim zawartego.

Jak się bronić ?

Jak na razie jedyną skuteczną metodą jest dezaktywacja mechanizmu wyświetlającego ikony skrótów. Można to zrobić ręcznie przy użyciu edytora rejestru systemowego „regedit”. W edytorze należy otworzyć klucz [HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]. Aby móc odtworzyć wyłączoną funkcjonalność warto jest wyeksportować zaznaczony klucz do pliku. Następnie należy w prawym panelu zaznaczyć wartość „(Domyślna)”.

Następnie z menu kontekstowego wybrać „Modyfikuj”. W oknie edycji usunąć dane z pola „Dane wartości”. Po wykonaniu operacji można zamknąć edytor rejestru. Efektem potwierdzającym skuteczne przeprowadzenie operacji będzie niewyświetlanie ikon skrótów.

Dziś (21 lipca) Microsoft również udostępnił opis zawierający tymczasowe rozwiązanie problemu pod adresem: http://support.microsoft.com/kb/2286198

W dniach 13-18 czerwca odbyła się 22. doroczna konferencja FIRST. Jest to najważniejsze w roku wydarzenie w tym ogólnoświatowym forum zespołów reagujących, zrzeszającym w tej chwili ponad 220 zespołów z sześciu kontynentów, od uczelnianych i akademickich, przez bankowe i należące do wielkich korporacji po rządowe. Tegoroczna konferencja miała miejsce w Miami na Florydzie i zgromadziła przeszło 450 uczestników. CERT Polska jest jednym z aktywnych członków forum. W tym roku oprócz trzyosobowej reprezentacji wśród uczestników miał także znaczący wkład merytoryczny w program konferencji. Byliśmy autorami lub współautorami aż czterech wygłoszonych prezentacji:

• R&D projects launched in response to the dynamic evolution of Internet security threats – CERT view wygłoszona przez Krzysztofa Silickiego i Piotra Kijewskiego (współautor: Mirosław Maj)
• Cooperation and self-regulation of Polish ISPs in combating online crime – wygłoszona przez Przemysława Jaroszewskiego
• FISHA – A Framework for Information Sharing and Alerting in Europe – współautorstwa Piotra Kijewskiego i Katarzyny Gorzelak
• WOMBAT API: handling incidents by querying a world-wide network of advanced honeypots wygłoszona przez Piotra Kijewskiego (współautor: Adam Kozakiewicz)

Znaczący udział wśród pozostałych prezentacji miały tematy związane z bezpieczeństwem i prywatnością w systemach cloud computing. Pojawiły się także interesujące prezentacje dotyczące ataków dedykowanych oraz mnóstwo interesujących przykładów rozwiązań organizacyjnych i technicznych związanych z bezpieczeństwem i reagowaniem na incydenty. Bardzo ciekawy program sprawiał, że często trudno było dokonać wyboru między trzema ścieżkami tematycznymi.

Pełny program konferencji znaleźć można na stronach konferencji.

Projekt WOMBAT wraz z demonstracją API został także zaprezentowany na towarzyszącym konferencji FIRST spotkaniu zespołów narodowych. Spotkania takie od kilku lat organizowane są przez CERT/CC bezpośrednio po konferencji FIRST i są doskonałą okazją do wymiany kontaktów oraz zapoznania się z wyzwaniami, które stoją przed zespołami CERT działającymi na szczeblu narodowym.

SECURE to jedna z najstarszych w Polsce konferencji poświęconych w całości bezpieczeństwu teleinformatycznemu. Adresowana jest przede wszystkim do administratorów, oficerów bezpieczeństwa oraz praktyków z tej dziedziny. Organizator Konferencji – działający w ramach NASK zespół CERT Polska swoim wieloletnim doświadczeniem w zakresie reagowania na naruszenia bezpieczeństwa w sieci sprawia, że konferencja jest spotkaniem ekspertów na co dzień zaangażowanych w problematykę ochrony systemów IT. Wśród tematów konferencji szczególny nacisk kładzie się na praktyczne rozwiązania techniczne, najnowsze trendy w zabezpieczeniach oraz istotne zagadnienia prawne. Celem konferencji jest zapewnienie dostępu do najnowszej wiedzy, a przez to umożliwienie uczestnikom podnoszenia swoich kwalifikacji oraz cenną wymianę doświadczeń.

Edycja SECURE 2010 odbędzie się w dniach 25-27 października, w Centrum Konferencyjnym Adgar Plaza w Warszawie. Skupiać się będzie wokół trzech głównych nurtów:

• technicznego – ze szczególnym uwzględnieniem nowatorskich i praktycznych rozwiązań
• organizacyjnego – ze szczególnym naciskiem na dostrzeganie nowych trendów w zagrożeniach
• prawnego – ze szczególnym naciskiem na rzeczywiste możliwości ścigania sprawców przestępstw

W tym roku, odświeżając nieco formułę konferencji, proponujemy dwie formy aktywnego włączenia się w tworzenie jej programu. Pierwszą z nich są krótkie, pięciominutowe wystąpienia w luźnej formie w trakcie. Drugą natomiast tradycyjne prezentacje, możliwie wyczerpujące swój temat.

Krótkie wystąpienia

Jako element nowej formuły, zapraszamy uczestników konferencji SECURE do dzielenia się na gorąco swoimi ideami, pytaniami oraz problemami. Podczas jednego z bloków konferencji zaprosimy do przedstawiania krótkich wystąpień, dotyczących dowolnego tematu związanego z bezpieczeństwem teleinformatycznym – własnych projektów, pomysłów, nurtujących kwestii, które uznają Państwo za pomijane itp.

Ważne informacje dotyczące krótkich wystąpień

• maksymalny czas jednego wystąpienia to 5 minut. Łączny czas na wszystkie wystąpienia będzie ograniczony
• zgłoszenia chęci krótkiego wystąpienia można dokonać w dowolnym momencie po zarejestrowaniu się jako uczestnik konferencji, wysyłając email na adres: cfp@secure.edu.pl; możliwe będzie także dokonanie zgłoszenia w trakcie trwania konferencji
• organizatorzy zastrzegają sobie prawo ostatecznej decyzji o dopuszczeniu do wystąpienia

Pełne prezentacje

Poszukujemy osób gotowych do wygłoszenia prezentacji, która porusza przynajmniej jeden z poniższych tematów:

• analiza złośliwego oprogramowania, w tym wirusów, robaków, botnetów
• monitorowanie bezpieczeństwa w sieci
• wykrywanie włamań
• nowatorskie zastosowania systemów honeypot
• techniki wizualizacji zdarzeń bezpieczeństwa
• wczesne ostrzeganie o zagrożeniach w sieciach teleinformatycznych
• obsługa incydentów bezpieczeństwa
• standardy wymiany informacji o bezpieczeństwie
• nowe techniki ataków i ochrona przeciwko nim
• skuteczność narzędzi w zwalczaniu nowych technik ataków
• narzędzia open source w bezpieczeństwie
• ochrona tożsamości w sieci
• zagrożenia związane z „user-generated content”
• czynnik ludzki w bezpieczeństwie
• prawo polskie i europejskie w odniesieniu do bezpieczeństwa teleinformatycznego
• działania organów ścigania w zakresie zwalczania przestępczości teleinformatycznej
• projekty naukowe z dziedziny bezpieczeństwa teleinformatycznego
• współpraca międzynarodowa w zwalczaniu zagrożeń  teleinformatycznych
• współpraca publiczno-prywatna w zwalczaniu zagrożeń teleinformatycznych

Ważne informacje dotyczące pełnych prezentacji

• zgłoszenie należy przesłać drogą elektroniczną na adres cfp@secure.edu.pl;
• powinno zawierać tytuł oraz streszczenie proponowanej prezentacji wraz z krótką notką biograficzną autora – wskazane jest odwołanie do wcześniejszych wystąpień jeżeli miały miejsce
• przewidywany czas na prezentację to 45 minut, w tym czas na pytania i odpowiedzi
• prezentacja nie może mieć charakteru reklamowego
• materiały należy nadsyłać w formatach OpenOffice, Microsoft Office lub PDF
• prezentacje zostaną udostępnione uczestnikom konferencji w formie elektronicznej
• organizatorzy zapewniają bezpłatny udział w całej konferencji (nie dotyczy warsztatów)
• terminy
  • nadsyłanie zgłoszeń do 30 czerwca 2010 r.
  • wybór prezentacji do 19 lipca 2010 r.
  • nadsyłanie prezentacji do 11 października 2010 r.