Jak ochránit Windows proti útoku viru Duqu?

Jiří Novák | 06.11.2011 | Bezpečnost | Žádné komentáře

I když zatím neexistuje oficiální záplata na zranitelnost operačních systémů Windows červem Duqu, o němž se hovoří také jako o nové verzi Stuxnetu, Microsoft vydal alespoň prozatimní návod sloužící jako dočasná ochrana. Ten popisuje, jak manuálně zablokovat přístup ke zranitelným souborům všech v současnosti podporovaných verzí Windows a znemožnit tak napadení systému (postup by měl ale fungovat i na již nepodporovaných Windows 2000, které ovšem řada firem stále používá a u nichž půjde o jedinou možnost, jak se vůči Duqu bránit, protože pro ně Microsoft žádnou opravu pochopitelně nevydá).

Chyba, kterou Duqu zneužívá, se vyskytuje při zpracování TrueType fontu ve Windows, která může útočníkovi umožnit zvýšení jeho práv a následně spustit libovolný kód v kernel módu, který mu umožní instalovat programy, zobrazovat, měnit a mazat data nebo vytvářet nové účty s plnými uživatelskými právy. Napadení počítače probíhá obvykle pomocí přílohy v e-mailu, ale zástupci Microsoftu dodávají, že k útoku nemůže dojít automaticky, ale uživatel musí přílohu nejprve otevřít.

Microsoft ovšem uklidňuje, že zatím jsou dopady této zranitelnosti velmi malé, stejně tak jako bezpečnostní experti, kteří doporučují hlavně se vyvarovat paniky spojené s Duqu, která by mohla nahrát jiným útočníkům, například sociálním hackerům.

Pokud v každém případě chcete váš počítač proti útoku viru Duqu zabezpečit, můžete to podle verze Windows učinit pomocí následujících příkazů (níže uvádíme i návod pro jejich zrušení, protože až bude vydána oficiální oprava postižených souborů od Microsoftu, což ale nelze očekávat v nejbližších dnech, bude pak vhodné zablokovaný přístup k zranitelným souborům opět povolit):

Windows XP a Windows Server 2003
Pro 32bitové systémy zadejte následující příkaz v příkazové řádce (nebo jej můžete uložit do souboru .bat a ten pak následně spustit):
Echo y| cacls %windir%\system32\t2embed.dll /E /P everyone:N

U 64bitových systémů pak použijte následující příkazy:
Echo y| cacls %windir%\system32\t2embed.dll /E /P everyone:N
Echo y| cacls %windir%\syswow64\t2embed.dll /E /P everyone:N

Windows Vista, Windows 7, Windows Server 2008 a Windows Server 2008 R2
Pro 32bitové systémy zadejte následující příkaz v příkazové řádce (nebo jej můžete uložit do souboru .bat a ten pak následně spustit):
Takeown.exe /f %windir%\system32\t2embed.dll
Icacls.exe %windir%\system32\t2embed.dll /deny everyone:(F)

U 64bitových verzí to pak jsou následující příkazy:
Takeown.exe /f %windir%\system32\t2embed.dll
Icacls.exe %windir%\system32\t2embed.dll /deny everyone:(F)
Takeown.exe /f %windir%\syswow64\t2embed.dll
Icacls.exe %windir%\syswow64\t2embed.dll /deny everyone:(F)

V případě problémů s nalezením souborů lze %windir% nahradit přímou cestou do adresáře Windows na vašem PC. Pokud chcete vidět, s jakým výsledkem příkaz proběhl, je vhodné do zmíněného .bat souboru vložit následně i příkaz pauze, který zajistí, že se okno příkazové řádky zavře až po stisku libovolné klávesy. Samozřejmě zapnutí blokace přístupu k souborům není bez následků a může mít vliv na aplikace, které využívají technologie pro práci s fonty ve Windows. Odblokování se pak provede následujícími příkazy:

Windows XP a Windows Server 2003
32bitové verze:
cacls %windir%\system32\t2embed.dll /E /R everyone

64bitové verze:
cacls %windir%\system32\t2embed.dll /E /R everyone
cacls %windir%\syswow64\t2embed.dll /E /R everyone

Windows Vista, Windows 7, Windows Server 2008 a Windows Server 2008
32bitové verze:
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d everyone

64bitové verze:
Icacls.exe %WINDIR%\system32\t2embed.DLL /remove:d everyone
Icacls.exe %WINDIR%\syswow64\t2embed.DLL /remove:d everyone

K dispozici je také v rámci služby Fix It od Microsoftu nástroj, který potřebné úpravy pro ochranu proti útoku Duqu provede sám. Ke stažení je zde - http://support.microsoft.com/kb/2639658.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


+ osm = devět

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz