Powaga sytuacji wzrasta z dnia na dzień. Exploit umożliwiający wykorzystanie luki w przetwarzaniu plików .lnk został dodany do Metasploita - może z nim sobie poeksperymentować każdy użytkownik tego pakietu. Specjaliści z firmy ESET wykryli nową wersję trojana, który rozpowszechnia się przez tę dziurę. Czy zmotywuje to Microsoft do szybszej pracy nad poprawką?

Pierwsze informacje na temat nowej podatności pojawiły się w mediach tydzień temu. Najpierw odnotowano ataki za pośrednictwem zainfekowanych pamięci USB. Stuxnet - bo tak nazwano nowo odkrytego trojana - wykorzystywał błąd w module odpowiedzialnym za wyświetlanie ikon skrótów. Szybko się okazało, że luka występuje we wszystkich wspieranych przez Microsoft wersjach Windowsa, zaczynając od XP z SP3.

Równie szybko w sieci pojawił się przykładowy exploit pokazujący, jak można spreparować plik .lnk, by uruchomić z jego pomocą dowolny kod. Jak się dziś okazało, o exploita tego został już wzbogacony Metasploit - popularny pakiet narzędzi ułatwiających analizowanie zabezpieczeń systemu. Lada dzień należy się więc spodziewać kolejnych "przykładów" wykorzystania nowej luki.

Specjaliści z firmy ESET odkryli już zresztą nową wersję szkodnika infekującego przez tę dziurę. Tak jak wcześniej, po otwarciu foldera zawierającego spreparowany skrót dochodzi do instalacji sterownika, jest on jednak podpisany przez inną firmę - JMicron Technology Corp. Pliki .dll ładowane przez poprzednią wersję trojana były zaopatrzone w certyfikaty firmy Realtek Semiconductor Corp.

Jedna z możliwości jest taka, że zarówno JMicron, jak i Realtek, zostali zainfekowani trojanem, takim jak Zeus, który kradnie certyfikaty cyfrowe. Następnie cyberprzestępcy, którzy uzyskali certyfikaty, odsprzedali je na rynku lub wykorzystali do podpisywania sterowników Stuxnet - przypuszcza Costin Raiu z Kaspersky Lab.

Nic więc dziwnego, że działający przy SANS Internet Storm Center (ISC) zdecydował się podnieść stopień zagrożenia z zielonego na żółty. Microsoft tymczasem przygotował narzędzie typu "Fix it", które umożliwi użytkownikom wszystkich wersji Windowsa wyłączenie wyświetlania ikon skrótów bez grzebania w rejestrze. Aby z niego skorzystać, należy odwiedzić stronę pomocy technicznej.

Ze względu na informacje o możliwości przeprowadzenia ataku przez sieć z wykorzystaniem protokołu WebDAV oraz SAMBA, specjaliści zalecają także wyłączenie usługi WebClient. W tym celu należy uruchomić Services.msc (np. wpisując tę nazwę w polu "Uruchom" widocznym po kliknięciu przycisku "Start"). Usługę możemy wyłączyć po wejściu w jej właściwości.