Microsoft er i gang med at udvikle en patch for at forhindre udnyttelse af en nylig opdaget sårbarhed, der vedrører stort set alle versioner af Windows.
Sårbarheden udnyttes af den ondsindede industri-orm, som går specifikt efter Siemens SCADA-system Simatic, men sikkerhedseksperter forventer, at der ikke vil gå lang tid førend anden malware vil florere og udnytte sårbarheden.
Microsoft bekræftede sårbarheden i fredags og foreslog workarounds så virksomheder og privatpersoner kan undgå at deres computere inficeres af virussen, men Microsoft har endnu ingen patch af sårbarheden.
Patch før Patch Tuesday?
Microsoft opdaterede sin sikkerhedsadvarsel i tirsdags. Status er at "Microsoft er ved at udvikle en sikkerhedsopdatering til Windows, der vil adressere sårbarheden."
Microsoft har ikke sagt noget om hvorvidt virksomheden vil vente indtil den næste planlagte Patch Tuesday den 10. august med at udsende sikkerhedsopdateringen eller om den vil blive tilgængelig inden da.
Microsoft har foreslået to workarounds; en der forhindrer shortcuts i at blive vist som ikoner og en anden der slår WebClient servicen fra, så fjernangreb forhindres.
De foreslåede workarounds er dog beskrevet som "i høj grad upraktiske i de fleste miljøer" af Chester Wisniewski,
en sikkerhedsanalytiker fra it-sikkerhedsfirmaet Sophos.
Anvender shortcuts
Sårbarheden eksisterer fordi Windows fortolker specielt udformede shortcuts forkert og dermed tillader eksekvering af ondsindet kode.
Sårbarheden opstår grundet måden shell32.dll loader control panel ikoner fra appleter.
En specielt udformet shortcut (.lnk fil), der peger på en ondsindet fil kan få Windows Explorer til uden videre at eksekvere den ondsindede fil. Det sker selvom man blot kigger i den folder som shortcut befinder sig i. Den ondsindede kode eksekveres altså, selvom man ikke klikker på shortcut.
Den ondsindede fil er et rootkit og en dropper der øjeblikkeligt gemmer de specielle shortcut (.lnk) filer.
Den ondsindede kode eksekveres, selvom AutoRun og AutoPlay er slået fra.
Sikkerhedseksperter forventer, at der vil dukke anden malware, der udnytter den meget kritiske sårbarhed i Windows.
Nedenstående video viser hvordan malwaren fungerer.
