Alcune fonti in Rete segnalano una vulnerabilità di tipo "zero-day" che interessa il formato file Shell Link Binary File Format, noto come shortcut (collegamento), che usa l'estensione LNK gestita dai sistemi Windows per creare collegamenti a file e programmi.

Le notizie al momento vagliate dal CERT-SPC riportano che la vulnerabilità, probabilmente di tipo buffer overflow, può essere sfruttata realizzando dei file .LNK contenti valori e parametri anomali in grado di alterare il processo di allocazione della memoria da parte di Windows Explorer o di alcuni altri software di gestione dei file. Sebbene non sia ben definito lo scenario di attacco, risulta che l'exploit disponibile in rete per tale vulnerabilità sia attivamente sfruttato da un rootkit che si propaga attraverso i dispositivi di memorizzazione USB.

Affinché l'attacco abbia successo, pare non sia neanche necessario che l'utente apra il file .LNK “malevolo” e predisposto dall’attaccante, essendo sufficiente la sola visualizzazione dei file contenuti nella memoria USB infettata dal malware che sfrutta questa vulnerabilità. In attesa di conferme da parte del produttore e di informazioni più circostanziate, considerata la diffusione e l'uso di memorie esterne connesse tramite l'interfaccia USB e la diffusione e familiarità con la funzionalità ed il formato di file vulnerabile, si raccomanda gli utenti di attenersi scrupolosamente alle politiche di sicurezza implementate nelle rispettive organizzazioni che disciplinano l'uso delle memorie esterne.

Ulteriori dettagli sono disponibili presso le seguenti URL:

http://krebsonsecurity.com/2010/07/experts-warn-of-new-windows-shortcut-flaw/

http://www.f-secure.com/weblog/archives/00001986.html

Aggiornamento #1

Microsoft ha pubblicato un avviso di sicurezza (2286198) per confermare la vulnerabilità segnalata alla quale è stato attribuito l'identificativo CVE-2010-2568. I sistemi interessati sono Windows XP, Windows Vista, Windows 7, Windows Server 2003 e Windows Server 2008. Da alcuni produttori di software e servizi antivirus il malware che sfrutta tale vulnerabilità è stato individuato come W32.Temphid (nomenclatura Symantec) e come indicato si propaga attraverso dispositivi di memorizzazione di massa connessi come dischi esterni via USB. Un'ulteriore scenario di attacco, rispetto a quello precedentemente indicato, prevede la possibilità di sfruttare da remoto tale vulnerabilità inducendo un utente a visitare un sito web appositamente predisposto o ad aprire collegamenti verso risorse di rete condivise. Microsoft nell'avviso di sicurezza non ha fornito il software correttivo ma indica alcuni workaround volti alla disabilitazione, attraverso la modifica di alcuni chiavi del Registro di Windows, della visualizzazione delle icone relative ai file di tipo LNK. L'altro Workaround suggerito prevede la sospensione del servizio di webclient. Per entrambi i workaround sono altresì indicate le modalità di ripristino. Ulteriori dettagli sono disponibili presso la seguente URL:

http://www.microsoft.com/technet/security/advisory/2286198.mspx

Aggiornamento #2

Alcuni produttori di software antivirus riportano la notizia della diffusione di alcuni malware in grado di sfruttare la vulnerabilità sopra indicata. Di interesse appare la variante del noto malware Zeus in grado di sfruttare la vulnerabilità che interessa il formato di file LNK gestito da Microsoft Windows propagandosi attraverso file allegati a messaggi di posta elettronica con oggetto : "Microsoft Windows Security Advisory." Raccomandiamo, pertanto, gli utneti di porre la massima attenzione nel leggere ed aprire file allegati a messaggi di posta elettronica provenienti da fonti sconosciute e di tenere aggiornati i sistemi antivirus. Ulteriori dettagli sono disponibili presso le seguenti URL:
http://www.f-secure.com/weblog/archives/00001996.html
http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go
http://www.sophos.com/blogs/gc/g/2010/07/23/malware-exploiting-windows-shortcut-vulnerability/

Aggiornamento #3

In data 02 agosto, Microsoft ha rilasciato l'aggiornamento di sicurezza:

http://www.cert-spc.it/index.php/bollettini/vulnerabilita

Aggiornamento #4

In data 10 agosto, Microsoft ha rilasciato l'aggiornamento di sicurezza indicato al punto precedente anche nell'ambito del programma di rilascio periodico del software correttivo per il mese di agosto:

http://www.cert-spc.it/index.php/bollettini/notiziari/390-microsoft-aggiornamenti-di-sicurezza-per-il-mese-di-agosto-2010