Microsoft Windows快捷方式LNK文件自动执行代码漏洞

发布日期：2010-07-21

CVE ID：CVE-2010-2568

受影响的软件及系统：
====================
Windows XP
Windows Server 2003
Windows Vista
Windows Server 2008
Windows 7

综述：
======
Windows系统在处理LNK文件中所包含内容的机制上存在漏洞，攻击者可以通过在LNK文件中植入恶意内容使用户在浏览目录时执行指定的恶意代码，用户只要浏览了包含恶意LNK文件的U盘、网络共享、本地磁盘都会导致恶意代码的执行，因此攻击者可以很方便地利用此漏洞传播恶意代码。


分析：
======
Windows支持使用快捷方式或LNK文件。LNK文件是指向本地文件的引用，点击LNK文件与点击快捷方式所指定的目标具有相同的效果。

Windows没有正确地处理LNK文件，特制的LNK文件可能导致Windows自动执行快捷方式文件所指定的代码。这些代码可能位于USB驱动、本地或远程文件系统、光驱或其他位置，使用资源管理器查看了LNK文件所在位置就足以触发这个漏洞。默认下Windows启动了自动加载和自动播放功能，因此在连接可移动设备（如USB闪存）后Windows会自动打开资源管理器。其他显示文件图标的应用也可用作这个漏洞的攻击载体。

此漏洞影响广泛而且导致威胁等级高，再次使攻击者通过U盘之类的移动介质和网络共享传播恶意代码成为可能，需要引起重视并及时采取应对措施。

解决方法：
==========
在安装漏洞相应的补丁之前，Windows用户可以采用以下的临时解决方案来免受漏洞的影响：

* 禁止显示快捷方式图标的功能。注意这将使得所有快捷方式显示空白图标。

  执行如下步骤：

  1. 点击 “开始” -> “运行”，在文本框中输入“regedit”，点击 “确定” 启动注册表编辑器。
  
  2. 在注册表编辑器中定位并选中如下的注册表项：
    
     HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
    
  3. 在 “文件” 菜单中选择 “导出”。
  
  4. 在导出注册表文件对话框的文件名处输入 “LNK_Icon_Backup.reg” ，点击 “确定”。
  
     此步骤保存相关的注册表配置到备份文件中，待安装了正式的补丁后可以双击 LNK_Icon_Backup.reg 备份文件重新导入到注册表恢复系统配置。
  
  5. 在注册表右边窗口右键点击 “默认” 表项，选择 “修改”，清空 “数值数据” 框中的数据，点击 “确定”。
  
  6. 重启系统。

厂商状态：
==========
Microsoft已经为此发布了一个安全公告（MS10-046）以及相应补丁:
MS10-046：Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198)
链接：http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

附加信息：
==========
http://www.nsfocus.net/vulndb/15433
http://www.microsoft.com/technet/security/advisory/2286198.mspx

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技