微軟lnk漏洞解決方案 防范看一眼就中毒
2010年7月16日,Windows快捷方式自動執行0day漏洞(微軟安全知識庫編號2286198)被披露,很快網上已經可以找到利用這個漏洞攻擊的樣本。利用Windows快捷方式自動執行0day漏洞可以做到:看一眼惡意軟件就中毒,而根本不需要去執行它。這個漏洞將會被廣泛使用,網民須高度重視。
攻擊者利用Windows快捷方式自動執行0day漏洞,可以制作一個特殊的lnk文件(LNK是快捷方式文件的擴展名),當Windows解析這個LNK文件時,會自動執行指定的惡意程序。這個漏洞最佳利用通道是U盤、移動硬盤、數碼存儲卡,也可以是本地磁盤或網絡共享文件夾,當U盤或網絡共享文件夾存在這樣的攻擊程序時,只需要使用資源管理器,或與資源管理器類似的應用程序查看這個文件夾,不需要手動運行病毒程序,病毒自己就會觸發。
這個漏洞最令人吃驚的地方在于,“不需要雙擊病毒文件,僅看一眼文件圖標就中毒”。幾年前,曾經有個叫“新歡樂時光(VBS.KJ)”的病毒廣為流傳,VBS.KJ病毒會在每個文件夾下生成desktop.ini和folder.htt文件(這兩個文件控制了文件夾在資源管理器中的顯示)。只要打開被病毒修改過的含有desktop.ini和folder.htt的文件夾,不需要雙擊病毒,看一眼就中毒。現在和新歡樂時光傳播類似的病毒將要出現了,盡管我們現在還沒有看到很多病毒作者利用Windows快捷方式漏洞傳播,但相信這種病毒攻擊一定會有。
Windows快捷方式自動執行0day漏洞存在所有流行的Windows版本,包括尚未公開發布的Windows 7 SP1 beta和Windows 2008 R2 SP1 beta。意味著,這個風險幾乎遍布所有安裝了Windows的電腦。
微軟lnk漏洞解決方案
防止這個漏洞被利用,微軟方面提供了幾個暫時緩解的方案:
1.關閉快捷方式圖標的顯示,不過這會讓Windows界面變得奇丑,因為一個個漂亮的桌面圖標和開始菜單圖標全都不顯示了。
a.在“開始”——“運行”中輸入regedit.exe,打開注冊表。
b.定位到注冊表HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler。
c.右鍵IconHandler選擇導出,并保存為IconHandlerbak.reg。
d.重啟EXplorer或者重啟電腦即可,不過在我測試看來桌面變的慘不忍睹。
2.建議企業用戶關閉WebClient服務,個人用戶(一般不使用網絡共享資源)可以不必考慮這個問題。
a.在“開始”-“運行”中輸入“Services.msc”,打開服務控制面板
b.找到“WebClient”服務項,如果其正在運行狀態中,請先將其關閉,之后修改啟動類型為“已禁用”。
此方案所帶來的影響:WebDAV請求將不會被傳輸,另外任何明顯依賴于“WebClient”服務的其它服務項會受到影響。
3.關閉U盤自動播放可以避免插上U盤的動作就中毒,只有手動查看文件夾才有風險。
4.以受限用戶權限運行計算機可以降低風險。
對于喜歡使用各種Windows美化版的用戶來說,可能麻煩更大一些,這些美化版大都修改了shell32.dll,針對這個Windows快捷方式自動執行0day漏洞的修補程序,可能去修補shell32.dll,可能會讓這些美化版出現一些問題。倘若這些真的發生了,那些使用美化版的盜版Windows用戶也許會拒絕這個重要的安全補丁,從而加劇利用此漏洞的病毒傳播。
【編輯推薦】
