04.11.2011, 15:31
Microsoft udostępnił tymczasowe rozwiązanie chroniące przed infekcją wirusem Duqu.
Duqu wykorzystuje dziurę w mechanizmie parsującym czcionki TrueType, znajdującym się w sterowniku Win32k.sys. Sterownik ten działa w trybie jądra i jest odpowiedzialny za takie funkcje systemu jak zarządzanie oknami, obsługę myszy i klawiatury oraz przesyłanie komunikatów do aplikacji. Zawiera także Graphics Device Interface (GDI) i opakowuje funkcje DirectX pochodzące ze sterownika dxgkrnl.sys. Aby wykorzystać lukę, atakujący musi na komputer ofiary dostarczyć plik z odpowiednio spreparowaną czcionką. Duqu wykorzystuje w tym celu pliki Worda, ale mogą to być również inne formaty pozwalające na osadzanie czcionek, także strony internetowe. Ponieważ sterownik działa w trybie jądra, atakujący wykorzystujący lukę uzyskuje pełną kontrolę nad systemem.
Jako rozwiązanie tymczasowe, Microsoft proponuje odebranie praw do pliku t2embed.dll., sposób ten był już sugerowany przez Microsoft w przypadku innych dziur, dotyczył oczywiście wtedy innych plików. Osoby, które nie opanowały zbyt dobrze ustawiania praw, czy to klikając czy korzystając z komendy cacls, mogą skorzystać ze zautomatyzowanego narzędzia typu FixIt.
Poprawka na dziurę w Win32k.sys zostanie wydana wkrótce, poza standardowym cyklem.
Fix it - http://support.microsoft.com/kb/2639658
Źródło: http://www.dobreprogramy.pl/Microsoft-ud...28628.html
Duqu wykorzystuje dziurę w mechanizmie parsującym czcionki TrueType, znajdującym się w sterowniku Win32k.sys. Sterownik ten działa w trybie jądra i jest odpowiedzialny za takie funkcje systemu jak zarządzanie oknami, obsługę myszy i klawiatury oraz przesyłanie komunikatów do aplikacji. Zawiera także Graphics Device Interface (GDI) i opakowuje funkcje DirectX pochodzące ze sterownika dxgkrnl.sys. Aby wykorzystać lukę, atakujący musi na komputer ofiary dostarczyć plik z odpowiednio spreparowaną czcionką. Duqu wykorzystuje w tym celu pliki Worda, ale mogą to być również inne formaty pozwalające na osadzanie czcionek, także strony internetowe. Ponieważ sterownik działa w trybie jądra, atakujący wykorzystujący lukę uzyskuje pełną kontrolę nad systemem.
Jako rozwiązanie tymczasowe, Microsoft proponuje odebranie praw do pliku t2embed.dll., sposób ten był już sugerowany przez Microsoft w przypadku innych dziur, dotyczył oczywiście wtedy innych plików. Osoby, które nie opanowały zbyt dobrze ustawiania praw, czy to klikając czy korzystając z komendy cacls, mogą skorzystać ze zautomatyzowanego narzędzia typu FixIt.
Poprawka na dziurę w Win32k.sys zostanie wydana wkrótce, poza standardowym cyklem.
Fix it - http://support.microsoft.com/kb/2639658
Źródło: http://www.dobreprogramy.pl/Microsoft-ud...28628.html