Exploit:Win32/CplLnkウイルスとは? ショートカット脆弱性CVE-2010-2568
 
Win32/CplLnk は2010年に発覚したWindowsのショートカット関連の脆弱性 CVE-2010-2568 を悪用する不正なファイル(拡張子 *.lnk)の検出名です。
 
これは、中東イランの核開発に絡むサイバー攻撃で使われたマルウェア Stuxnet(スタックスネット) の感染手段として悪用されたことで明るみになりました。
 
Microsoft 検出名
Exploit:Win32/CplLnk.A Exploit:Win32/CplLnk.B

【シマンテック 検出名】
Bloodhound.Exploit.343

トレンドマイクロ 検出名
EXPL_CPLNK.SM EXPL_CPLNK.SMA LNK_DLOADR.SMA
 
ちなみに、キーワード「CplLnk」でググると、いわくつきなウイルス駆除ツール SpyHunterAdvances System ProtectorYAC の導入を誘う宣伝広告ブログが結構たくさんヒットする…  
 

ショートカットのアイコンが表示されるだけで被害!?

この脆弱性は、不正なショートカットファイルをエクスプローラなどで表示する時に、そのアイコンが表示されるタイミングで、コンピュータウイルスが強制的に起動してしまう危険な挙動を実現できてしまうようで。
 
発覚当時はゼロデイ攻撃の状態だったため、マイクロソフトからレジストリをイジってショートカットのアイコン表示を無効に切り替える暫定的な対処法が提示されたぐらい。
 
Windows シェルの脆弱性により、リモートでコードが実行される / ショートカット アイコンの読み込みの脆弱性 マイクロソフト セキュリティ情報 MS10-046 - 緊急
https://technet.microsoft.com/ja-jp/library/security/ms10-046.aspx

JVNVU#940193: Microsoft Windows のショートカットファイルの処理に脆弱性
http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-001811.html
 
ただ、この欠陥を修正するセキュリティ更新パッチが、2010年8月に Windows Update 経由で配信済みなので、今現在はもはや悪用できない脆弱性になります。
 
正しく運用されてるWindowsパソコンであれば問題はもうないけど、この脆弱性を悪用して一般ユーザーを攻撃しようとするマルウェアが登場してます。
 
脆弱性(CVE-2010-2568)を悪用するウイルスが連続で1位に!-マカフィー (マイナビニュース)
http://news.mynavi.jp/articles/2010/12/25/mcafee/

「ZBOT」と「SALITY」がWindowsショートカットファイルの脆弱性を悪用 (トレンドマイクロ)
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=ZeuS%2FZBOT+and+SALITY+Take+Advantage+of+LNK+Flaw
 
現在でも通用するUSBメモリを介したウイルス感染攻撃では、この脆弱性と特に関係なく、ユーザーに偽のショートカットファイルをダブルクリックして起動させる単純な手口だけど。
関連するブログ記事
タグ :
#ソフトウェア