Informacje na temat bezpieczeństwa i zabezpieczania przed wirusami

Przegląd

Złośliwy kod wykonywalny, czyli złośliwe oprogramowanie lub wirusy, stał się na tyle powszechnym zjawiskiem, że może utrudnić pracę użytkowników programów AutoCAD i AutoCAD LT oraz produktów opartych na oprogramowaniu AutoCAD. Bez odpowiedniej interwencji złośliwe oprogramowanie może rozprzestrzenić się i spowodować utratę własności intelektualnej i obniżenie wydajności.

Najbardziej powszechne zagrożenie wynika z zezwolenia na współistnienie kodu wykonywalnego z danymi, na przykład w automatycznie wczytywanych plikach AutoLISP w folderze Rozpocznij w. Folder Rozpocznij w jest określany przez atrybut Rozpocznij w, który jest ustawiany przy użyciu ikony skrótu na pulpicie, albo przez folder, w którym można dwukrotnie kliknąć plik, aby uruchomić produkt.

Bardziej wyrafinowane ataki, mające na celu uszkodzenie lub kradzież własności intelektualnej, wykorzystują złośliwe aplikacje ARX, odblokowania obiektów oraz pliki DLL (biblioteki łączone dynamicznie). Inne zagrożenia mogą pochodzić z makr języka VBA (Microsoft ® Visual Basic ® for Applications) osadzanych w plikach DWG.

Przykładowo projektowe pliki wykonywalne spakowane razem z rysunkami w postaci pliku ZIP mogą zawierać zmienione wersje plików acad.lsp (lub acadlt.lsp), acaddoc.lsp (lub acadltdoc.lsp), FAS i VLX, zawierające złośliwy kod. Po wyodrębnieniu zawartości pliku ZIP do folderu i uruchomieniu programu AutoCAD lub AutoCAD LT przez dwukrotne kliknięcie pliku DWG pliki LSP są również automatycznie wyczytywane.

Ponadto wiele wirusów próbuje się rozprzestrzeniać przez dodanie wiersza do pliku acad.mnl, co powoduje wczytanie wirusa.

Oprócz plików wykonywalnych istnieją także inne typowe zagrożenia, które mogą wykorzystywać luki programów AutoCAD i AutoCAD LT i produktów opartych na oprogramowaniu AutoCAD. Należą do nich:

• Pliki szkodliwych skryptów, PGP i CUIx. Te typy plików z zewnętrznych źródeł należy zawsze uważnie sprawdzić przed ich użyciem, ponieważ mogą one zawierać ukryte złośliwe oprogramowanie.
• Złośliwe oprogramowanie wstawione w kopiach programów ze złamanymi zabezpieczeniami i nieautoryzowanych dodatkach. Użytkownicy, którzy łamią zabezpieczenia oprogramowania, mogą z łatwością wstawić dodatkowy kod, w tym złośliwe oprogramowanie, które pozwoli kraść wyniki pracy lub przekształci komputer w komputer-zombie.
• Źle sformatowane pliki DWG, które powodują przepełnienie bufora kodem wykonywalnym. To bardziej wyrafinowany rodzaj ataku, który powoduje, że spreparowane dane rysunku są uruchamiane jako kod na komputerze. Zespół ds. zabezpieczeń programu AutoCAD pracuje nad tym, aby wyeliminować zagrożenia związane z przepełnieniem bufora w programach AutoCAD i AutoCAD LT. W przypadku pracy z poufnymi danymi projektowymi należy otwierać pliki rysunku tylko z zaufanych źródeł.
• Atak typu „binary planting”. Ta kategoria obejmuje zastępowanie normalnych plików binarnych, takich jak EXE, DLL i COM przez ich spreparowane zamienniki. Umieszczenie (ang. plant — zasadzić) takich plików na komputerze lub w sieci wymaga uprawnień, które można zdobyć, wykorzystując słabe uprawnienia dostępu do folderu, lub fakt uruchomienia aplikacji z uprawnieniami lokalnego administratora.

Pliki narażone na ataki

Złośliwy kod mogą zawierać pliki następujących typów:

• pliki ARX, DBX, CRX i HDI
• pliki LSP, FAS, VLX, MNL, SCR
• zespoły .NET
• makra VBA (pliki DVB)
• plik acad.rx
• JavaScript
• pliki DLL

Zabezpieczające środki zaradcze

Zabezpieczające środki zaradcze dostępne w programach AutoCAD i AutoCAD LT pozwalają zminimalizować możliwość wykonywania złośliwego kodu przy użyciu narzędzi, które:

• Określ co najmniej jeden zaufany folder dla plików wykonywalnych. Obsługę zaufanych lokalizacji zapewnia zmienna systemowa TRUSTEDPATHS, dzięki czemu pliki wykonywalne można zapisywać w podlegających kontroli i testom lokalizacjach folderów. Zaleca się, aby te foldery miały ustawiony atrybut tylko do odczytu. Te położenia mogą być zablokowane przez Menedżera CAD.
• Ograniczają dostęp do plików acad<wersja>.lsp (lub acadlt<wersja>.lsp) albo acad<wersja>doc.lsp (lub acadlt<wersja>doc.lsp) oraz ich pozycji następczych, dopuszczając wczytanie tych plików tylko z ich domyślnych folderów instalacyjnych, odpowiednio: <folder instalacyjny>\Support i <folder instalacyjny>\Support\<język>.
• Ograniczają wczytywanie aplikacji AutoLISP i aplikacje VBA, w tym wszystkich plików LSP, FAS i VLX oraz pliku acad.dvb, w bieżącej sesji produktu. Sposób wczytywania plików jest sterowany zmienną systemową SECURELOAD.
• Aby zapobiec niezamierzonemu znajdowaniu i wczytywaniu plików wykonywalnych z folderu Rozpocznij w i z folderów rysunków, należy pozostawić wartość 0 zmiennej systemowej LEGACYCODEPATH.
• Zabezpieczają proces czyszczenia po ataku przez całkowite wyłączenie wykonywalnego kodu przy uruchamianiu produktu. Funkcja ta jest sterowana za pomocą przełącznika uruchamiania /safemode i wyrażona zmienną systemową tylko do odczytu — SAFEMODE. Przełącznik /safemode umożliwia bezpieczne uruchamianie produktu, co pozwala wprowadzać zmiany w zmiennych systemowych SECURELOAD i TRUSTEDPATHS.
• Zablokuj następujące zmienne systemowe za pomocą Narzędzia kontroli Menedżera CAD: LEGACYCODESEARCH, SECURELOAD i TRUSTEDPATHS.
• Automatycznie ustawia poziom ochrony, kontrolując kilka zmiennych systemowych opisanych tutaj wraz z poleceniem OPCJEBEZP.

Zalecenia

Stosując następujące wzorce postępowania, można ograniczyć zagrożenie ze strony złośliwego kodu wykonywalnego:

• Na bieżąco uaktualniaj definicje wirusów. Wszystkie czołowe rozwiązania antywirusowe identyfikują i naprawiają infekcje spowodowane przez wirusy programów AutoCAD i AutoCAD LT.
• Korzystanie z funkcji Kontrola konta użytkownika (UAC) systemu Windows i ograniczanie uprawnień, aby zapobiec nieautoryzowanym zmianom.
• Instalacja programów AutoCAD i AutoCAD LT w domyślnym folderze Program Files z włączoną funkcją UAC (kontrola dostępu użytkownika). Uruchamianie programu AutoCAD lub AutoCAD LT z uprawnieniami innymi niż administratora.
• Reagowanie na ostrzeżenia dotyczące zabezpieczeń, szczególnie te, które sygnalizują niepodpisane pliki wykonywalne.
• Zachowanie ostrożności w przypadku aplikacji zewnętrznych, oprogramowania ze złamanymi zabezpieczeniami, „darmowych” rysunków i plików niestandardowych, które mogą zawierać złośliwe oprogramowanie.
• Przed zainstalowaniem aplikacji innych firm korzystających z plików ARX, DBX, CRX, HDI i DLL sprawdź, czy instalowane pliki mają podpis cyfrowy z certyfikatem wydanym przez uznane źródło, np. VeriSign.
• Nigdy nie należy wczytywać ani uruchamiać nieznanego kodu źródłowego AutoLISP czy pliku projektu VBA bez uprzedniego sprawdzenia kodu.
• Nie wolno uruchamiać nieznanego pliku skryptu bez sprawdzenia go.
• Przechowuj kod wykonywalny w osobnych folderach, niezawierających danych.
• Przechowuj kod wykonywalny w zaufanych lokalizacjach z atrybutem tylko do odczytu.
• Umieść udostępniane pliki CUIx w zaufanych lokalizacjach z atrybutem tylko do odczytu.
• Nadaj zmiennej systemowej SECURELOAD wartość 1 lub 2, aby zapobiec wykonywaniu nieautoryzowanego kodu w programie AutoCAD lub AutoCAD LT. To ustawienie można również zmieniać w oknie dialogowym Opcje karta System przycisk Ustawienia plików wykonywalnych lub w Kreatorze obrazu stanowiska.
• Przypisz zmiennej systemowej TRUSTEDPATHS unikalne, zaufane foldery z atrybutem tylko do odczytu. Foldery C:\Program Files\ i C:\Program Files (x86) wraz z ich podfolderami są automatycznie traktowane jako zaufane. Te ścieżki można również ustawić w kreatorze obrazu stanowiska.

We współczesnym środowisku pełnym cyber-zagrożeń zawsze wskazane jest zachowanie czujności, nawet w przypadku programu AutoCAD lub AutoCAD LT, tym bardziej, że oznacza to zaledwie kilka dodatkowych minut, które pozwolą obniżyć ryzyko.