Tilbake i oktober et rootkit ble oppdaget som utnytter en kritisk sikkerhetsproblem i Windows-operativsystemet. Vi dekket oppdagelse og fjerning verktøy for to dager siden som ville skanne en PC og fjerne eventuelle spor av Duqu rootkit fra et system.

Microsoft har i dag ut en sikkerhetsveiledning for å gi kundene "veiledning for Windows-kjernen saken relatert til Duqu malware ".

Den rådgivende beskriver et sikkerhetsproblem i Truetype-skrift parsing som kan tillate heving av privilegier. Angripere som klarer å utnytte dette sikkerhetsproblemet kan kjøre vilkårlig kode i kernel-modus som ville tillate dem å installere programmer ", vise, endre eller slette data" og opprette nye kontoer med "fulle brukerrettigheter".

Microsoft bekrefter at målrettede angrep blir utført i dag som bruker sårbarhet. Den samlede effekten er imidlertid vurdert som lav
er

Microsoft tilbyr en manuell løsning for berørte versjoner av Windows på sikkerhetsveiledningen side.

I Windows XP og Windows Server 2003:
< p> For 32-bits systemer, skriver du inn følgende kommando i en administrativ ledetekst:

Echo y | cacls "% windir% \\ system32 \\ t2embed.dll" /E /P alle: N

For 64-bits systemer, skriver du inn følgende kommando fra en administrativ ledetekst:

Echo y | cacls "% windir% \\ system32 \\ t2embed.dll" /E /P alle: N

Echo y | cacls "% windir% \\ syswow64 \\ t2embed.dll" /E /P alle: N

I Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2:

For 32 -BIT systemer, skriver du inn følgende kommando i en administrativ ledetekst: takeown.exe /f "% windir% \\ system32 \\ t2embed.dll"

Icacls.exe "% windir% \\ system32 \\ t2embed.dll" /nekte alle: (F)

For 64-bits systemer, skriver du inn følgende kommando i en administrativ ledetekst:

takeown.exe /f "% windir% \\ system32 \\ t2embed.dll "

Icacls.exe"% windir% \\ system32 \\ t2embed.dll "/nekte alle: (F)

takeown.exe /f"% windir% \\ syswow64 \\ t2embed.dll "

Icacls.exe "% windir% \\ syswow64 \\ t2embed.dll" /benekte alle:. (F)

Den løsningen kan påvirke programmer som "avhengige av innebygde skriftteknologier" Anmeldelser

Løsningen kan angres igjen på følgende måte:

I Windows XP og Windows Server 2003:

For 32-bits systemer, skriver du inn følgende kommando i en administrativ ledetekst: cacls "% windir% \\ system32 \\ t2embed.dll" /E /R everyone

For 64-bits systemer, skriver du inn følgende kommando i en administrativ ledetekst: cacls "% windir% \\ system32 \\ t2embed.dll" /E /R everyone

cacls "% windir% \\ syswow64 \\ t2embed.dll" /E /R everyoneOn Windows Vista, Windows 7, Windows Server 2008 og Windows Server 2008 R2:

For 32-bits systemer, skriver du inn følgende kommando i en administrativ ledetekst: Icacls.exe% windir% \\ system32 \\ t2embed.DLL /fjerne: d alle

For 64-bits systemer, skriver du inn følgende kommando ved en administrativ ledetekst: Icacls.exe% windir% \\ system32 \\ t2embed.DLL /fjerne: d alle

Icacls.exe% WINDIR% \\ syswow64 \\ t2embed.DLL /fjerne: d alle

Microsoft dessuten har gitt ut en fiks det løsning som brukerne kan kjøre på deres system for å beskytte den fra sikkerhetsproblem

Den fikse det kan lastes ned fra følgende Microsoft Knowledge Base-artikkelen.

Det er anbefalt å bruke løsningen på datasystemer før Microsoft utgir en sikkerhetsoppdatering som løser problemet uten bivirkninger.

Vær oppmerksom på at det er en fix-it for aktivering og en for å deaktivere den midlertidige løsningen.