Windows Zero-Day Shortcut LNK File Vulnerability Used to Install Rootkits from Infected USB Drives

Uma falha recém-descoberta em um arquivo de atalho LNK do Windows, está sendo usada para instalar um software, utilizado para obter acesso a nivel de administrador ou o controle de um computador, sem ser detectado, também conhecido como Rootkits.

O novo malware vem explorando uma falha no desenho desse arquivo de atalho (. LNK), nos PCs que executam o Windows. Quando um usuário de computador clica duas vezes sobre um ícone de atalho afetado, a vulnerabilidade é acionada. Os ícones de atalho representam um espaço reservado para o arquivo real ou o programa no Windows. Eles são muitas vezes colocados no menu iniciar e no desktop de um Pc que executa o Windows, mas também podem ser representados em uma mídia removível, tal como uma unidade USB.

A Microsoft já avisou os usuarios, atraves do Conselho de Segurança da Microsoft (2286198), que os hackers estão explorando uma vulnerabilidade sem correção dentro dos componentes do Windows Shell, na qual o Windows analisou os atalhos incorretamente. Desde o alerta, a Microsoft confirmou que os pesquisadores descobriram que essa exploração resultou de um problema com os arquivos de atalho (. Lnk). A vulnerabilidade está apta a permitir que um código malicioso seja executado, provavelmente através de unidades removíveis. Quando executado, o malware tem incluido um Trojan, que pode implementar um código de ataque que baixa um rootkit e,então, permanece indetectado enquanto estiver em execução.

Várias versões do Windows foram afetadas pela falha do atalho, inclusive o Windows 7 e agora o Windows XP SP2, que não tem mais suporte técnico (Service Pack 2 - A partir de 13 de julho de 2010, a Microsoft já não fornece atualizações de segurança ou suporte tecnico para o Windows XP SP2). Os investigadores notaram que o malware relacionado com a falha do atalho vem, principalmente, de uma unidade USB infectada. Tradicionalmente, os malwares que se espalham através de unidades USB, aproveitam a função Autorun do Windows, onde eles são executados antes que o usuário tenha a oportunidade de interagir com eles ou o momento em que a unidade estiver físicamente conectada ao computador. Dessa vez, os arquivos de atalho maliciosos, com a extensão LNK. devem ser abertos pelo usuário, para que essa vulnerabilidade seja iniciada. Uma empresa de segurança, a VirusBlokAda, supostamente descobriu que os arquivos de atalho maliciosos podem ser executados automaticamente, quando são escritos em uma unidade USB, que mais tarde vai ser acessada pelo Windows Explorer.

O malware em questão é conhecido por instalar duas unidades, com os nomes de arquivo 'mrxcls.sys' e 'mrxnet.sys', que são arquivos de rootkit, usados para esconder o malware dentro de uma unidade USB infectada. Isso significa que o malware pode se espalhar de qualquer computador no qual a unidade USB infectada estiver ligada, sem ficar exposto ou visível. A estranha natureza dos dois arquivos, 'mrxcls.sys' e 'mrxnet.sys', é que ambos são arquivos de unidade assinados, com a assinatura digital da Realtek Semiconductor Corp, uma empresa legítima de tecnologia. Essa descoberta chamou a nossa atenção no blog pertencente a Krebsonsecurity.com. A correlação exata entre os dois ainda não foi determinada, mas a Microsoft e a Realtek foram informadas sobre a situação e vao investiga-la, se necessário.

Os atacantes podem rapidamente se aproveitar dessa nova vulnerabilidade no Windows para espalhar malware, especialmente através dos sistemas que executam o Windows XP SP2, uma vez que ele não será corrigido pela Microsoft. Se estiver executando o Windows XP SP2, é aconselhavel que voce se atualize, pelo menos para a versao XP SP3.