Kilka środków zabezpieczających i procedur postępowania zapewnia ochronę przed złośliwym kodem w programie AutoCAD LT.
Przegląd
Złośliwy kod wykonywalny, czyli złośliwe oprogramowanie lub wirusy, stał się na tyle powszechnym zjawiskiem, że może utrudnić pracę użytkowników programu AutoCAD LT. Bez odpowiedniej interwencji złośliwe oprogramowanie może rozprzestrzenić się i spowodować utratę własności intelektualnej i obniżenie wydajności.
Uwaga: Począwszy od AutoCAD LT 2024, produkt obsługuje wczytywanie i wykonywanie programów AutoLISP.
Najbardziej powszechne zagrożenie wynika z zezwolenia na współistnienie kodu wykonywalnego z danymi, na przykład w automatycznie wczytywanych plikach AutoLISP w folderze Rozpocznij w. Folder Rozpocznij w jest określany przez atrybut Rozpocznij w, który jest ustawiany przy użyciu ikony skrótu na pulpicie, albo przez folder, w którym można dwukrotnie kliknąć plik, aby uruchomić produkt.
Przykładowo projektowe pliki wykonywalne spakowane razem z rysunkami w postaci pliku ZIP mogą zawierać zmienione wersje plików acadlt.lsp, acadltdoc.lsp, FAS i VLX, zawierające złośliwy kod. Po wyodrębnieniu zawartości pliku ZIP do folderu i uruchomieniu programu AutoCAD przez dwukrotne kliknięcie pliku DWG pliki LSP są również automatycznie uruchamiane.
Ponadto wiele wirusów próbuje się rozprzestrzeniać przez dodanie wiersza do pliku acadlt.mnl, co powoduje wczytanie wirusa.
Oprócz języka AutoLISP istnieją także inne typowe zagrożenia, które mogą wykorzystywać luki programu AutoCAD LT i AutoCAD. Należą do nich:
- Pliki szkodliwych skryptów, PGP i CUIx. Te typy plików z zewnętrznych źródeł należy zawsze uważnie sprawdzić przed ich użyciem, ponieważ mogą one zawierać ukryte złośliwe oprogramowanie.
- Złośliwe oprogramowanie wstawione w kopiach programów ze złamanymi zabezpieczeniami i nieautoryzowanych dodatkach. Użytkownicy, którzy łamią zabezpieczenia oprogramowania, mogą z łatwością wstawić dodatkowy kod, w tym złośliwe oprogramowanie, które pozwoli kraść wyniki pracy lub przekształci komputer w komputer-zombie.
- Źle sformatowane pliki DWG, które powodują przepełnienie bufora kodem wykonywalnym. To bardziej wyrafinowany rodzaj ataku, który powoduje, że spreparowane dane rysunku są uruchamiane jako kod na komputerze. Zespół ds. zabezpieczeń programu AutoCAD pracuje nad tym, aby wyeliminować zagrożenia związane z przepełnieniem bufora w programach AutoCAD i AutoCAD LT. W przypadku pracy z poufnymi danymi projektowymi należy otwierać pliki rysunku tylko z zaufanych źródeł.
- Atak typu „binary planting”. Ta kategoria obejmuje zastępowanie normalnych plików binarnych, takich jak EXE, DLL i COM przez ich spreparowane zamienniki. Umieszczenie (ang. plant — zasadzić) takich plików na komputerze lub w sieci wymaga uprawnień, które można zdobyć, wykorzystując słabe uprawnienia dostępu do folderu, lub fakt uruchomienia aplikacji z uprawnieniami lokalnego administratora.
Zabezpieczające środki zaradcze
Zabezpieczające środki zaradcze dostępne w programie AutoCAD pozwalają zminimalizować możliwość wykonywania złośliwego kodu przy użyciu narzędzi, które:
- Określ co najmniej jeden zaufany folder dla plików wykonywalnych. Obsługę zaufanych lokalizacji zapewnia zmienna systemowa TRUSTEDPATHS, dzięki czemu pliki wykonywalne można zapisywać w podlegających kontroli i testom lokalizacjach folderów. Zaleca się, aby te foldery miały ustawiony atrybut tylko do odczytu. Te położenia mogą być zablokowane przez Menedżera CAD.
- Ograniczają dostęp do plików acadlt<wersja>.lsp i acadlt<wersja>doc.lsp oraz ich następców, dopuszczając wczytanie tych plików tylko z ich domyślnych folderów instalacyjnych, odpowiednio: <folder instalacyjny>\Support i <folder instalacyjny>\Support\<język>.
- Ograniczają wczytywanie aplikacji AutoLISP, w tym wszystkich plików LSP, FAS i VLX w bieżącej sesji produktu. Sposób wczytywania plików jest sterowany zmienną systemową SECURELOAD.
- Aby zapobiec niezamierzonemu znajdowaniu i wczytywaniu plików wykonywalnych z folderu Rozpocznij w i z folderów rysunków, należy pozostawić wartość 0 zmiennej systemowej LEGACYCODEPATH.
- Zabezpieczają proces czyszczenia po ataku przez całkowite wyłączenie wykonywalnego kodu przy uruchamianiu produktu. Funkcja ta jest sterowana za pomocą przełącznika uruchamiania /safemode i wyrażona zmienną systemową tylko do odczytu — SAFEMODE. Przełącznik /safemode umożliwia bezpieczne uruchamianie produktu, co pozwala wprowadzać zmiany w zmiennych systemowych SECURELOAD i TRUSTEDPATHS.
- Zablokuj następujące zmienne systemowe za pomocą Narzędzia kontroli Menedżera CAD: LEGACYCODESEARCH, SECURELOAD i TRUSTEDPATHS.
- Automatycznie ustawia poziom ochrony, kontrolując kilka zmiennych systemowych opisanych tutaj wraz z poleceniem OPCJEBEZP.
Ważne: Użycie przełącznika /safemode nie dopuszcza również do uruchomienia większości poleceń, dlatego przełącznik ten powinien być używany wyłącznie tymczasowo, gdy istnieje podejrzenie, że w systemie zostało zainstalowane złośliwe oprogramowanie.
Ogólne środki zapobiegawcze
Stosując następujące środki zapobiegawcze, można ograniczyć zagrożenie ze strony złośliwego kodu wykonywalnego:
- Dbanie o regularne aktualizowanie wszystkich produktów programowych, w tym definicji wirusów.
- Instalowanie programu AutoCAD LT w domyślnym folderze Program Files z włączoną funkcją UAC (kontrola konta użytkownika) oraz uruchamianie programu AutoCAD LT z uprawnieniami innymi niż administratora.
- Korzystanie z funkcji Kontrola konta użytkownika (UAC) systemu Windows i ograniczanie uprawnień, aby zapobiec nieautoryzowanym zmianom.
- Reagowanie na ostrzeżenia dotyczące zabezpieczeń, szczególnie te, które sygnalizują niepodpisane pliki wykonywalne.
- Zachowanie ostrożności w przypadku aplikacji zewnętrznych, oprogramowania ze złamanymi zabezpieczeniami, „darmowych” rysunków i plików niestandardowych, które mogą zawierać złośliwe oprogramowanie.
- Przed zainstalowaniem aplikacji innych firm korzystających z plików LSP, FAS i VLX sprawdź, czy instalowane pliki mają podpis cyfrowy z certyfikatem wydanym przez uznane źródło, np. VeriSign.
- Nigdy nie uruchamiaj nieznanego pliku AutoLISP bez uprzedniego sprawdzenia kodu.
- Nie wolno uruchamiać nieznanego pliku skryptu bez sprawdzenia go.
- Przechowywanie kodu wykonywalnego w folderach tylko do odczytu oddzielnie od danych.
- Przechowuj kod wykonywalny w zaufanych lokalizacjach z atrybutem tylko do odczytu.
- Umieszczanie udostępnianych plików CUIx programu AutoCAD LT w lokalizacjach tylko do odczytu.
- Nadaj zmiennej systemowej SECURELOAD wartość 1 lub 2, aby zapobiec wykonywaniu nieautoryzowanego kodu w programie AutoCAD LT. To ustawienie można również zmieniać w oknie dialogowym Opcje, karta System, przycisk Ustawienia plików wykonywalnych lub w Kreatorze obrazu stanowiska.
- Przypisz zmiennej systemowej TRUSTEDPATHS unikalne, zaufane foldery z atrybutem tylko do odczytu. Foldery C:\Program Files\ i C:\Program Files (x86) wraz z ich podfolderami są automatycznie traktowane jako zaufane. Te ścieżki można również ustawić w kreatorze obrazu stanowiska.
We współczesnym środowisku pełnym cyber-zagrożeń zawsze wskazane jest zachowanie czujności, nawet w przypadku programu AutoCAD LT, tym bardziej, że oznacza to zaledwie kilka dodatkowych minut, które pozwolą obniżyć ryzyko.