Istnieje kilka środków zabezpieczających i procedur zapewniających ochronę przed złośliwymi plikami wykonywalnymi.
Przegląd
Złośliwy kod wykonywalny, czyli złośliwe oprogramowanie lub wirusy, stał się na tyle powszechnym zjawiskiem, że może utrudnić pracę użytkowników programu AutoCAD oraz produktów opartych na oprogramowaniu AutoCAD. Bez odpowiedniej interwencji złośliwe oprogramowanie może rozprzestrzenić się i spowodować utratę własności intelektualnej i obniżenie wydajności.
Najbardziej powszechne zagrożenie wynika z zezwolenia na współistnienie kodu wykonywalnego z danymi, na przykład w automatycznie wczytywanych plikach AutoLISP w folderze Rozpocznij w. Folder Rozpocznij w jest określany przez atrybut Rozpocznij w, który jest ustawiany przy użyciu ikony skrótu na pulpicie, albo przez folder, w którym można dwukrotnie kliknąć plik, aby uruchomić produkt.
Bardziej wyrafinowane ataki, mające na celu uszkodzenie lub kradzież własności intelektualnej, wykorzystują złośliwe aplikacje ARX, odblokowania obiektów oraz pliki DLL (biblioteki łączone dynamicznie). Inne zagrożenia mogą pochodzić z makr języka VBA (Microsoft ® Visual Basic ® for Applications) osadzanych w plikach DWG.
Przykładowo projektowe pliki wykonywalne spakowane razem z rysunkami w postaci pliku ZIP mogą zawierać zmienione wersje plików acad.lsp, acaddoc.lsp, FAS i VLX, zawierające złośliwy kod. Po wyodrębnieniu zawartości pliku ZIP do folderu i uruchomieniu programu AutoCAD przez dwukrotne kliknięcie pliku DWG pliki LSP są również automatycznie uruchamiane.
Ponadto wiele wirusów próbuje się rozprzestrzeniać przez dodanie wiersza do pliku acad.mnl, co powoduje wczytanie wirusa.
Oprócz plików wykonywalnych istnieją także inne typowe zagrożenia, które mogą wykorzystywać luki programu AutoCAD i produktów opartych na oprogramowaniu AutoCAD. Należą do nich:
- Pliki szkodliwych skryptów, PGP i CUIx. Te typy plików z zewnętrznych źródeł należy zawsze uważnie sprawdzić przed ich użyciem, ponieważ mogą one zawierać ukryte złośliwe oprogramowanie.
- Złośliwe oprogramowanie wstawione w kopiach programów ze złamanymi zabezpieczeniami i nieautoryzowanych dodatkach. Użytkownicy, którzy łamią zabezpieczenia oprogramowania, mogą z łatwością wstawić dodatkowy kod, w tym złośliwe oprogramowanie, które pozwoli kraść wyniki pracy lub przekształci komputer w komputer-zombie.
- Źle sformatowane pliki DWG, które powodują przepełnienie bufora kodem wykonywalnym. To bardziej wyrafinowany rodzaj ataku, który powoduje, że spreparowane dane rysunku są uruchamiane jako kod na komputerze. Zespół ds. zabezpieczeń programu AutoCAD pracuje nad tym, aby wyeliminować zagrożenia związane z przepełnieniem bufora w programach AutoCAD i AutoCAD LT. W przypadku pracy z poufnymi danymi projektowymi należy otwierać pliki rysunku tylko z zaufanych źródeł.
- Atak typu „binary planting”. Ta kategoria obejmuje zastępowanie normalnych plików binarnych, takich jak EXE, DLL i COM przez ich spreparowane zamienniki. Umieszczenie (ang. plant — zasadzić) takich plików na komputerze lub w sieci wymaga uprawnień, które można zdobyć, wykorzystując słabe uprawnienia dostępu do folderu, lub fakt uruchomienia aplikacji z uprawnieniami lokalnego administratora.
Pliki narażone na ataki
Złośliwy kod mogą zawierać pliki następujących typów:
- pliki ARX, DBX, CRX i HDI
- pliki LSP, FAS, VLX, MNL, SCR
- zespoły .NET
- makra VBA (pliki DVB)
-
plik acad.rx
- JavaScript
- pliki DLL
Zabezpieczające środki zaradcze
Zabezpieczające środki zaradcze dostępne w programie AutoCAD pozwalają zminimalizować możliwość wykonywania złośliwego kodu przy użyciu narzędzi, które:
- Określ co najmniej jeden zaufany folder dla plików wykonywalnych. Obsługę zaufanych lokalizacji zapewnia zmienna systemowa TRUSTEDPATHS, dzięki czemu pliki wykonywalne można zapisywać w podlegających kontroli i testom lokalizacjach folderów. Zaleca się, aby te foldery miały ustawiony atrybut tylko do odczytu. Te położenia mogą być zablokowane przez Menedżera CAD.
- Ograniczają dostęp do plików acad<wersja>.lsp i acad<wersja>doc.lsp oraz ich następców, dopuszczając wczytanie tych plików tylko z ich domyślnych folderów instalacyjnych, odpowiednio: <folder instalacyjny>\Support i <folder instalacyjny>\Support\<język>.
- Ograniczają wczytywanie aplikacji AutoLISP i aplikacje VBA, w tym wszystkich plików LSP, FAS i VLX oraz pliku acad.dvb, w bieżącej sesji produktu. Sposób wczytywania plików jest sterowany zmienną systemową SECURELOAD.
- Aby zapobiec niezamierzonemu znajdowaniu i wczytywaniu plików wykonywalnych z folderu Rozpocznij w i z folderów rysunków, należy pozostawić wartość 0 zmiennej systemowej LEGACYCODEPATH.
- Zabezpieczają proces czyszczenia po ataku przez całkowite wyłączenie wykonywalnego kodu przy uruchamianiu produktu. Funkcja ta jest sterowana za pomocą przełącznika uruchamiania /safemode i wyrażona zmienną systemową tylko do odczytu — SAFEMODE. Przełącznik /safemode umożliwia bezpieczne uruchamianie produktu, co pozwala wprowadzać zmiany w zmiennych systemowych SECURELOAD i TRUSTEDPATHS.
- Zablokuj następujące zmienne systemowe za pomocą Narzędzia kontroli Menedżera CAD: LEGACYCODESEARCH, SECURELOAD i TRUSTEDPATHS.
- Automatycznie ustawia poziom ochrony, kontrolując kilka zmiennych systemowych opisanych tutaj wraz z poleceniem OPCJEBEZP.
Ważne: Użycie przełącznika /safemode nie dopuszcza również do uruchomienia narzędzi Express Tools i większości poleceń, dlatego przełącznik ten powinien być używany wyłącznie tymczasowo, gdy istnieje podejrzenie, że w systemie zostało zainstalowane złośliwe oprogramowanie.
Zalecenia
Stosując następujące wzorce postępowania, można ograniczyć zagrożenie ze strony złośliwego kodu wykonywalnego:
- Instalacja programu AutoCAD w domyślnym folderze Program Files z włączoną funkcją UAC (kontrola dostępu użytkownika). Uruchamianie programu AutoCAD z uprawnieniami innymi niż administratora.
- Na bieżąco uaktualniaj definicje wirusów. Wszystkie czołowe rozwiązania antywirusowe identyfikują i naprawiają infekcje spowodowane przez wirusy programu AutoCAD.
- Przed zainstalowaniem aplikacji innych firm korzystających z plików ARX, DBX, CRX, HDI i DLL sprawdź, czy instalowane pliki mają podpis cyfrowy z certyfikatem wydanym przez uznane źródło, np. VeriSign.
- Nigdy nie uruchamiaj nieznanego pliku AutoLISP ani makra VBA bez uprzedniego sprawdzenia kodu.
- Nie wolno uruchamiać nieznanego pliku skryptu bez sprawdzenia go.
- Przechowuj kod wykonywalny w osobnych folderach, niezawierających danych.
- Przechowuj kod wykonywalny w zaufanych lokalizacjach z atrybutem tylko do odczytu.
- Umieść udostępniane pliki CUIx programu AutoCAD w zaufanych lokalizacjach z atrybutem tylko do odczytu.
- Nadaj zmiennej systemowej SECURELOAD wartość 1 lub 2, aby zapobiec wykonywaniu nieautoryzowanego kodu w programie AutoCAD. To ustawienie można również zmieniać w oknie dialogowym Opcje karta System przycisk Ustawienia plików wykonywalnych lub w Kreatorze obrazu stanowiska.
- Przypisz zmiennej systemowej TRUSTEDPATHS unikalne, zaufane foldery z atrybutem tylko do odczytu. Foldery C:\Program Files\ i C:\Program Files (x86) wraz z ich podfolderami są automatycznie traktowane jako zaufane. Te ścieżki można również ustawić w kreatorze obrazu stanowiska.
Uwaga: W programie AutoCAD LT® nie można uruchomić plików AutoLISP, VBA i innych aplikacji, więc powyższe środki zabezpieczające nie są konieczne. Jednak zawsze zalecane jest przestrzeganie wzorców postępowania dotyczących zabezpieczeń, w tym ograniczania uprawnień kont.