CVE-2010-2568
Microsoft Windows
2022-09-15
Microsoft Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the operating system displays the icon of a malicious shortcut file. An attacker who successfully exploited this vulnerability could execute code as the logged-on user.
Технический анализ и план устранения
Суть уязвимости
CVE-2010-2568 — это критическая уязвимость в обработке файлов ярлыков (.LNK и .PIF) в ОС Windows. Проблема заключается в некорректном парсинге иконок внутри этих файлов. Когда проводник Windows (Windows Explorer) или любая другая программа пытается отобразить иконку вредоносного ярлыка, система автоматически загружает и исполняет произвольную динамическую библиотеку (.DLL), указанную в структуре файла.
Для эксплуатации злоумышленнику достаточно разместить специально сформированный файл на сменном носителе (USB-флешке), сетевом ресурсе или в WebDAV-директории. Выполнение кода происходит в контексте текущего пользователя без его взаимодействия, сразу в момент отрисовки иконки файла в интерфейсе системы. Данная уязвимость получила широкую известность, так как использовалась червем Stuxnet для первичного заражения систем.
Как исправить
Основным и рекомендуемым способом устранения является установка официальных обновлений безопасности от Microsoft (бюллетень MS10-046).
Для систем Windows XP, Vista, 7 и соответствующих серверных версий необходимо загрузить и установить патч KB2286198.
В современных версиях Windows (8.1, 10, 11) данная уязвимость устранена на уровне ядра системы, однако рекомендуется убедиться, что установлены последние накопительные обновления (Cumulative Updates).
Временные меры
Если установка обновлений невозможна, следует применить обходные решения (Workarounds) для снижения риска эксплуатации.
1. Отключение отображения иконок для ярлыков через реестр Это предотвратит автоматическую загрузку иконок и, следовательно, исполнение вредоносного кода.
reg delete "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler" /f
reg delete "HKEY_CLASSES_ROOT\piffile\shellex\IconHandler" /f
Примечание: После выполнения этих команд все ярлыки будут отображаться со стандартной системной иконкой.
2. Отключение службы WebClient Это поможет предотвратить атаки через удаленные WebDAV-ресурсы.
stop-service WebClient
set-service WebClient -startuptype disabled
3. Ограничение доступа к файлам через групповые политики (AppLocker) Настройте политики ограничения программного обеспечения, чтобы запретить загрузку библиотек из недоверенных источников или со съемных носителей.
4. Очистка кэша иконок
После внесения изменений в реестр рекомендуется перезапустить процесс explorer.exe и очистить кэш иконок, чтобы изменения вступили в силу немедленно.
taskkill /f /im explorer.exe
del /a /f /q "%localappdata%\IconCache.db"
start explorer.exe