Charakterystyka luki. Pliki typu "obiekt wycinek" (pod taką nazwą figurują w zestawieniu typu plików Windows, mają rozszerzenie SHS) służą zazwyczaj do zapisywania na dysku fragmentów dokumentów tworzonych przez aplikacje Office'a. Jednak oprócz przydatnej funkcji zbiory te mogą ukrywać nader szkodliwe obiekty. W rachubę wchodzą praktycznie wszystkie destrukcyjne polecenia korzystające z lokalnych aplikacji środowisk DOS i Windows. Na domiar złego kliknięte obiekty są uruchamiane bez prośby o potwierdzenie.
Przyczyna. W ciągu ostatnich lat system Windows i pakiet Office były ciągle udoskonalane i zaopatrywane w coraz więcej funkcji. Jednak przeoczono, że dwie średnio niebezpieczne funkcje w połączeniu stanowią ogromne ryzyko.
Pakiety OLE. Pakowarka obiektów PACKAGER.EXE, która znajduje się w każdym systemie Windows, pozwala umieszczać polecenia DOS-u i Windows z dowolnymi parametrami w pakietach OLE (Object Linking and Embedding, łączenie i osadzanie obiektów). Dzięki temu możesz na przykład wstawić do dokumentu Worda ikonę sekwencji wideo (klip zostanie odtworzony po dwukrotnym kliknięciu ikony). Pakiety tego typu można ozdabiać dowolnymi ikonami. Za pośrednictwem menu Edycja | Kopiuj pakiet w pakowarce pakiet OLE trafi do Schowka. Stąd może być importowany do dowolnej aplikacji systemu Windows obsługującej standard OLE. Do aplikacji tego typu należą na przykład składniki pakietu Office, a także wiele programów narzędziowych (na przykład WordPad). Już powyższy stan rzeczy to poważne ryzyko. Gdy użytkownik znajdzie w otrzymanym dokumencie pakiet OLE rzekomo wskazujący, załóżmy, na klip wideo, może go spotkać przykra niespodzianka. Zamiast sekwencji wideo (lub innego typu plików) za obiektem może się ukrywać na przykład polecenie deltree /y c:\windows. Przywołanie takiego obiektu bywa opłakane w skutkach (na przykład powyższe polecenie usuwa całą zawartość katalogu \Windows). Wprawdzie system Windows 2000 prosi o potwierdzenie uruchomienia obiektu OLE, lecz większość narzędzi, na przykład WordPad, tego nie robi.
Pliki-wycinki. Pakiety OLE stają się bardziej niebezpieczne, gdy są zamaskowane jako pliki-wycinki (patrz wyżej). Rzekome fragmenty dokumentów tekstowych można tworzyć, zaznaczając pakiet OLE i przemieszczając go metodą przeciągnij i upuść do dowolnego folderu lub na pulpit. Nieświadomy niebezpieczeństwa użytkownik klika dwukrotnie ikonę takiego pliku, a system operacyjny uruchamia pakiet OLE bez prośby o potwierdzenie. W najgorszym wypadku może to być ostatnia czynność, którą system wykona. W dodatku fałszywe pliki SHS możesz otrzymywać jako załączniki w wiadomościach mailowych.
Środki zaradcze. Jeśli nie jesteś pewien pochodzenia pliku SHS, pod żadnym pozorem nie przywołuj go dwukrotnym kliknięciem. Aby się upewnić, że rzeczywiście stanowi fragment pliku tekstowego, przemieść go i upuść w aplikacji pakietu Office. Jeżeli zobaczysz tekst, plik-wycinek nie jest zakamuflowanym szkodnikiem. Jeśli jednak zobaczysz ikonę obiektu, plik SHS jest bardzo podejrzany. Aby zidentyfikować obiekt, kliknij ikonę prawym przyciskiem i wskaż polecenie Obiekt: Pakiet | Edytuj pakiet.
Choć trojany w plikach-wycinkach są blokowane po pierwszym uruchomieniu, to i tak mogą zniszczyć zasoby na twardym dysku. Podstawą takiego działania systemu jest fakt, że nie znajduje serwera OLE odpowiedzialnego za dany pakiet (zamaskowany jako plik SHS). W tej sytuacji Pakowarka obiektów nie udostępnia przywołanego pakietu aż do momentu ponownego zrestartowania systemu.
http://forum.msstudio.com.pl/zabezp.php?tytul=Zabezpieczanie%20Systemu%20Windows--
pzdr.bcn1899 *som i serem*
Poprzedni temat
Lista tematów
