LNK нулевого дня, основные принципы

За выходные я более подробно изучил уязвимость нулевого дня LNK-ярлыков Windows, о которой на прошлой неделе писал в своем блоге Алекс. Теперь она обозначается как CVE-2010-2568 и активно эксплуатируется злоумышленниками.

Мои основные выводы сводятся к тому, что эта уязвимость является неотъемлемой частью работы Windows с LNK-файлами. Это означает, что есть два больших недостатка – во-первых, так как функционал достаточно стандартный, создать эффективные generic detections, не вызывающие ложных срабатываний, будет сложнее.

Во-вторых, полагаю, что Microsoft будет непросто сделать для нее заплатку. Похоже, на данный момент Windows не обладает моделью безопасности для обращения с ярлыками. Ситуация напоминает историю с уязвимостями в формате WMF – еще один случай, когда унаследованный код снова создает неприятности для Microsoft.

Мы выпустили generic detection для вредоносных LNK-файлов. Думаю, что теперь формат LNK станет объектом более пристального внимания и со стороны хороших парней, и со стороны плохих, поэтому не поленитесь взглянуть на рекомендации Microsoft. Не сомневаюсь, что вы отлично проведете время, так как полагаю, что пока мы дожидаемся выпуска патча, эта уязвимость будет активно эксплуатироваться.