2010年7月16日，Windows快捷方式自動(dòng)執(zhí)行0day漏洞（微軟安全知識(shí)庫編號(hào)2286198）被披露，很快網(wǎng)上已經(jīng)可以找到利用這個(gè)漏洞攻擊的樣本。利用Windows快捷方式自動(dòng)執(zhí)行0day漏洞可以做到：看一眼惡意軟件就中毒，而根本不需要去執(zhí)行它。這個(gè)漏洞將會(huì)被廣泛使用，網(wǎng)民須高度重視。

攻擊者利用Windows快捷方式自動(dòng)執(zhí)行0day漏洞，可以制作一個(gè)特殊的lnk文件（LNK是快捷方式文件的擴(kuò)展名），當(dāng)Windows解析這個(gè)LNK文件時(shí)，會(huì)自動(dòng)執(zhí)行指定的惡意程序。這個(gè)漏洞最佳利用通道是U盤、移動(dòng)硬盤、數(shù)碼存儲(chǔ)卡，也可以是本地磁盤或網(wǎng)絡(luò)共享文件夾，當(dāng)U盤或網(wǎng)絡(luò)共享文件夾存在這樣的攻擊程序時(shí)，只需要使用資源管理器，或與資源管理器類似的應(yīng)用程序查看這個(gè)文件夾，不需要手動(dòng)運(yùn)行病毒程序，病毒自己就會(huì)觸發(fā)。

這個(gè)漏洞最令人吃驚的地方在于，“不需要雙擊病毒文件，僅看一眼文件圖標(biāo)就中毒”。幾年前，曾經(jīng)有個(gè)叫“新歡樂時(shí)光（VBS.KJ）”的病毒廣為流傳，VBS.KJ病毒會(huì)在每個(gè)文件夾下生成desktop.ini和folder.htt文件（這兩個(gè)文件控制了文件夾在資源管理器中的顯示）。只要打開被病毒修改過的含有desktop.ini和folder.htt的文件夾，不需要雙擊病毒，看一眼就中毒?，F(xiàn)在和新歡樂時(shí)光傳播類似的病毒將要出現(xiàn)了，盡管我們現(xiàn)在還沒有看到很多病毒作者利用Windows快捷方式漏洞傳播，但相信這種病毒攻擊一定會(huì)有。

Windows快捷方式自動(dòng)執(zhí)行0day漏洞存在所有流行的Windows版本，包括尚未公開發(fā)布的Windows 7 SP1 beta和Windows 2008 R2 SP1 beta。意味著，這個(gè)風(fēng)險(xiǎn)幾乎遍布所有安裝了Windows的電腦。

微軟lnk漏洞解決方案

防止這個(gè)漏洞被利用，微軟方面提供了幾個(gè)暫時(shí)緩解的方案：

1.關(guān)閉快捷方式圖標(biāo)的顯示，不過這會(huì)讓W(xué)indows界面變得奇丑，因?yàn)橐粋€(gè)個(gè)漂亮的桌面圖標(biāo)和開始菜單圖標(biāo)全都不顯示了。

a.在“開始”——“運(yùn)行”中輸入regedit.exe，打開注冊(cè)表。

b.定位到注冊(cè)表HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler。

c.右鍵IconHandler選擇導(dǎo)出，并保存為IconHandlerbak.reg。

d.重啟EXplorer或者重啟電腦即可，不過在我測試看來桌面變的慘不忍睹。

2.建議企業(yè)用戶關(guān)閉WebClient服務(wù)，個(gè)人用戶（一般不使用網(wǎng)絡(luò)共享資源）可以不必考慮這個(gè)問題。

a.在“開始”－“運(yùn)行”中輸入“Services.msc”，打開服務(wù)控制面板

b.找到“WebClient”服務(wù)項(xiàng)，如果其正在運(yùn)行狀態(tài)中，請(qǐng)先將其關(guān)閉，之后修改啟動(dòng)類型為“已禁用”。

此方案所帶來的影響：WebDAV請(qǐng)求將不會(huì)被傳輸，另外任何明顯依賴于“WebClient”服務(wù)的其它服務(wù)項(xiàng)會(huì)受到影響。

3.關(guān)閉U盤自動(dòng)播放可以避免插上U盤的動(dòng)作就中毒，只有手動(dòng)查看文件夾才有風(fēng)險(xiǎn)。

4.以受限用戶權(quán)限運(yùn)行計(jì)算機(jī)可以降低風(fēng)險(xiǎn)。

對(duì)于喜歡使用各種Windows美化版的用戶來說，可能麻煩更大一些，這些美化版大都修改了shell32.dll，針對(duì)這個(gè)Windows快捷方式自動(dòng)執(zhí)行0day漏洞的修補(bǔ)程序，可能去修補(bǔ)shell32.dll，可能會(huì)讓這些美化版出現(xiàn)一些問題。倘若這些真的發(fā)生了，那些使用美化版的盜版Windows用戶也許會(huì)拒絕這個(gè)重要的安全補(bǔ)丁，從而加劇利用此漏洞的病毒傳播。

【編輯推薦】

1. Windows動(dòng)態(tài)圖標(biāo)處理爆出0day嚴(yán)重漏洞
2. “極光”IE 0day漏洞攻擊量激增上萬網(wǎng)站掛馬