DUQU — простые вопросы

Много вопросов в Сети на тему Duqu. Краткий бриф, без воды.

Q: Что это такое? Это вирус?
A: Нет. Это специальный файл в формате Word, который использует открытую на данный момент по-умолчанию локальную уязвимость в библиотеке обработки шрифтов t2embed.dll. То есть стандартные настройки системы делают эксплуатацию этой локальной уязвимости возможной.

Q: Что надо сделать, чтобы подвергнуть систему риску заражения?
A: Надо открыть специальный файл в формате Word или специфичное письмо в Outlook.

Q: А браузер?
A: Нет, именно специальный файл и локально.

Q: Есть ли системы, которые вообще не подвержены этой уязвимости?
A: Да, все сервера в Server Core режиме. Кроме того, если на сервере не открывать локально текстовые документы в указанных ситуациях, заражения не будет.

Q: Например?
A: Например, эта уязвимость плоха тем, что в случае работы терминальных серверов любой пользователь с любыми правами, который вообще сможет открыть сеанс и запустить Word, может подставить под удар безопасность всей системы.

Q: А если я управляю серверами удалённо через powershell и/или mmc?
A: Тогда это не по Вашу душу. Для работы данного механизма абсолютно обязательно открывать специально созданный документ локально на целевой системе.

Q: Так это вирус или нет?
A: Это не вирус, т.к. этот механизм не подразумевает самостоятельного распространения. Вы не можете удалённо без доступа на систему инициировать обработку текстового файла с нужным кодом, который выполнится путём использования этой уязвимости. Поэтому никаких эпидемий, ботнетов и прочего быть не может в принципе. Всё, что может быть — рассылка с призывом «открой», после чего любой, кто откроет, даже если он с правами пользователя, скомпрометирует свою систему.

Q: Что делать?
A: Открыть командную строку от прав локального админа, и выполнить следующее:

1. Если у Вас любая Vista/Win7/Server2008/Server2008R2:


Takeown.exe /f "%windir%system32t2embed.dll"
Icacls.exe "%windir%system32t2embed.dll" /deny *S-1-1-0:(F)
Takeown.exe /f "%windir%syswow64t2embed.dll"
Icacls.exe "%windir%syswow64t2embed.dll" /deny *S-1-1-0:(F)

2. Если любая XP/2003:


Echo y| cacls "%windir%system32t2embed.dll" /E /P everyone:N
Echo y| cacls "%windir%syswow64t2embed.dll" /E /P everyone:N

Как понятно, если у Вас не x86-64 система, то строчки с «syswow64» можно не выполнять.

Q: Как это автоматизировать?
A: Через групповые политики.

Q: Что с антивирусами?
A: Большинство антивирусов с базами на сегодняшнюю дату обнаруживают код DUQU в файле и удаляют его.

Q: Что рекомендуется сделать?
A: Дома применить указанные действия прямо сейчас, плюс обновить антивирусные базы. На работе — применить вчера, плюс обновить антивирусные базы. Повторно донести до сотрудников, что открывать спам с целью «чисто позырить» — это, говоря мягко, неумно. Не администрируйте сервера локально, поставьте инструменты администрирования на свой хост и управляйте с него. Используйте Server Core где это только возможно. Не ставьте на сервера лишний софт (тот же Office 2010), если он там не нужен.

Реклама
DUQU — простые вопросы

DUQU — простые вопросы: 7 комментариев

  1. После выполнения команд:

    Takeown.exe /f «%windir%\system32\t2embed.dll»
    Icacls.exe «%windir%\system32\t2embed.dll» /deny *S-1-1-0:(F)

    Перестает работать экспорт в .pdf и .xps в MS Office 2k7

    1. Там много что перестанет работать. Имеет смысл просто поставить сегодняшние патчи, которые доступны с ночи через Microsoft Update, они решат проблему.

  2. Пробую приложенный скрипт на ХР, пишет такое:

    Echo y| cacls «%windir%\system32\t2embed.dll» /E /P everyone:N
    «Именам пользователей не сопоставлены коды защиты данных»

    1. Наверное, русская версия XP, и там вместо Everyone некие «Все»? Можно вручную на файле права выставить, через вкладку Security.

      1. Все верно, русская версия ХР, и русские «Все» (в кодировке OEM-866) прокатили. Остается распространить по домену. Спасибо!

  3. Q: Есть ли системы, которые вообще не подвержены этой уязвимости?
    Дааааа!!!! И все знают, что это за системы! Аффтар утаивает Правду.

Обсуждение закрыто.