Microsoft heeft in een security-advisory bevestigt wat onderzoekers al langer dan een maand roepen: hackers mibruiken een lek in snelkoppelingsbestanden. Dat zijn kleine bestanden, vaak op het bureaublad of in het Start-menu die verwijzen naar andere programma's of bestanden. De aanvalsmethode combineert de Stuxnet-malware met onder meer een Trojaans paard en een rootkit die detectie van de aanwezigheid van de malware voorkomt.

Besmetting via usb-stick

Het lek schuilt in Windows' verwerking van de snelkoppelingbestanden, eindigend op .lnk. Door op een usb-stick malafide .lnk-bestanden te plaatsen, kan een aanvaller een pc hacken als een gebruiker de inhoud van de stick slechts bekijkt, bijvoorbeeld met Windows Explorer.

Ook een alternatief als Total Commander is vatbaar, zolangs het bestandsbeheerprogramma maar iconen weergeeft waarmee dan de malafide .lnk-bestanden worden verwerkt. Besmette snelkoppelingsbestanden zijn ook te verspreiden via gedeelde netwerkschijven or remote WebDAV-schijven.

Industriële beheersoftware

Volgens Microsoft gaat het om een beperkt aantal gerichte aanvallen. Tot 15 juli zijn zesduizend pogingen gerergistreerd om pc's te besmetten, aldus Microsoft. Een van de doelwitten is de industriële beheersoftware Simatic WinCC (Windows Control Center), dat draait op de SCADA-systemen, van Siemens. Die beheeromgeving dient voor fabrieken en nutsbedrijven, zoals leveranciers van stroom en gas.

De malware is speciaal gemaakt om die systemen te penetreren. Het omzeilt ook eventuele detectie van digitale handtekeningen voor hardware door het usb-id van fabrikant Realtek te gebruiken. Dit kan betekenen dat de encyryptie van die Taiwanese chipmaker voor het tekenen van hardware-handtekeningen is gecompromitteerd. Siemens waarschuwt nu voor het gevaar van industriële spionage dat deze gerichte aanval dus is.

Geen patch voor SP2

Alle Windows-versies lopen gevaar, maar vervelend is dat de kwetsbaarheid ook optreedt op SP2 van Windows XP, dat sinds kort niet meer door Microsoft wordt ondersteund met security-updates. SP2-gebruikers moeten eerst updaten naar SP3 willen ze de patch, zodra die er is, ontvangen. Ook op Windows 2000 zal het lek ongedicht blijven. Ook daarvoor heeft Microsoft de security-ondersteuning nu stopgezet. Bedrijfssystemen zoals computers voor industriële controle-apparatuur draait vaak nog oudere software en besturingssystemen.

Uitschakelen

Todat er een patch is, kunnen Windows-gebruikers zich beschermen door de weergave van snelkoppelingen uit te schakelen en de WebClient-service in Windows uit te schakelen. Beide acties vergen het aanpassen van het Windows-register. Het relatief onbekende securitybedrijf VirusBlokAda uit Wit-Rusland heeft dit lek al half juni gemeld.

Bron: Webwereld.nl