Microsoft关于禁用Windows“AutoRun”功能的建议是有缺陷的,美国计算机紧急批准团队(US-Cert)周三表示,并留下了依靠其指导方针保护其PC对快速扩散的展开蠕虫来攻击的用户。
Microsoft关于禁用Windows“AutoRun”功能的建议缺陷美国计算机紧急准备团队(US-CERT)周三表示,留下依靠其指导方针来保护其PC对攻击的快速扩散的攻击的用户来攻击。
在A.警报星期一发布US-Cerr表示,微软关于关闭autorun的说明是“没有完全有效”,“可能被视为漏洞”。
微软指南中的缺陷目前很重要,因为“下载”蠕虫有损害了更多的计算机与多年的任何其他攻击相比,可以通过利用Windows'“autorun”和“autoplay”功能来传播USB设备,例如闪存驱动器和摄像机。
autorun,US-CERR警告的重点,让Windows自动运行“Autorun.inf”中指定的任何程序,例如,CD或闪存驱动器一旦插入或连接,就会插入或连接。默认情况下,Windows启用了AutorUn。
问题是下一周的落物感染了近900万台在全球范围内,尝试使用基于USB的设备来传播,通常是闪存驱动器。蠕虫在任何USB的设备的根目录中创建AutorUn.inf文件,它发现连接到受感染的机器,然后当该设备稍后连接到未感染的计算机时,Autorun.Inf文件将蠕虫复制到机器的情况下用户的任何动作,或者用户甚至知道。
结果:由下覆的另一台PC攻击。
虽然Microsoft尚未正式推荐用户禁用Autorun作为反落下措施,大多数安全公司和研究人员都符合Autorun.inf感染载体。与美国证券相同,微软的建议是无用的。
组织说:“Microsoft”[Microsoft] [Microsoft]指定的“Autorun”和'NodriveTypeautorun'注册表值无效,可在Microsoft Windows系统上完全禁用自动运行功能。““设置autorun注册表值为'0'不会阻止新连接的设备自动运行autorun.inf文件中指定的代码。然而,它将禁用媒体更改通知(MCN)消息,这可能会阻止Windows检测CD或DVD更改时。“
同样,推荐Nodrivetypeautorun的'0xff'设置Us-Cert表示,Microsoft说,Microsoft“禁用所有驱动器上的Autoplay禁用Autoplay,”如果碰巧双击Windows Explorer中的驱动器的图标,则不会保护用户。
相反,US-Cert表示,用户应该对Windows注册表进行不同的修改。在警报中,它给出了新值以及有关如何将其复制到Windows记事本的说明并将其导入注册表。
“一旦进行了这些更改,上面描述的所有自动运行代码执行方案都会被减轻,因为Windows将不再解析AutorUn.Inf文件以确定要采取的操作,”阅读US-Cert警告。
一个安全研究员惊讶于微软并没有抓取其推荐错误,特别是鉴于正在进行的落后攻击。“似乎对微软的不融为一体,并不是一直是关于他们的博客发布这个信息的人,”说安德鲁风暴,Ncircle Network Security Inc.的安全运营主任
他还讨论了需要编辑注册表以禁用autorun。“不仅是[是]在大多数人的[到达]之外编辑注册表,但现在我们了解到来自来源的信息不完整,”通过即时消息交换中添加的风暴。
微软没有立即回复对美国证书的警报发表评论的请求。
这个故事,“美国证书:微软关于淡化的建议有缺陷”最初发表Computerworld. 。