Wiedereinmal gibt es eine kritische Lücke in Windows
Bereits am 17.07.2010 bestätigte Microsoft in einer Sicherheitsnotiz eine Sicherheitslücke eim Anzeigen von
LNK-Dateien. Diese kann unter anderm dazu genutzt werden, das Windows-System schon eim Anstecken eines USB-Sticks zu infizieren. Schon einige Tage vor dieser Bekanntgabe gab es mehrere Meldungen, dass ein Wurm genau diese Lücke für Spionage-Aktivitäten genutzt hat. Betroffen davon sind alle Windows-Systeme seit Windows XP. Der Fehler tritt dann auf, wenn die Windows-Shell das Icon der LNK-Datei zu öffnen, denn dort überprüft die Shell nicht ausreichend einen speziellen Parameter, sodass darüber ein Code ausgeführt werden kann.
Das Microsoft Security Response Center warnt jedoch, dass die Lücke sich nicht nur über den Windows-Explorer, sondern auch über WebDAV oder Netzwerkfreigaben über das Internet ausnutzen lassen kann.
Einen Patch, der diese Lücke schließt, gibt es derzeit noch nicht, ein Veröffentlichungstermin dieses Patches wurde seitens noch nicht bekannt gegeben. Das Microsoft-Sicherheitsteam gab jedoch bei der Bestätigung der Lücke einen Tipp: Man solle einfach die Anzeige der Icons bei den LNK-Dateien abschalten, indem man flogenden Registry-Wert abändert:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
Dabei ist jedoch etwas zu beachten:
- Vor der Änderung ist ein Backup der derzeitigen registry-Einstellungen empfehlenswert.
- Es ist empfehlenswert, den Web-Client Dienst abzuschalten, damit Angriffe via WebDAV verhindert werden können.
Bislang bekannte Angriffe sind höchst professionell gemacht, Sie enthalten z.B. ein Rootkit, welches sich als digital signierter Realtek-Treiber im System verankert und die Prozessleitsysteme ausspioniert. Deswegen spekulieren Sicherheitsexperten, dass es sich um gezielte Spionage-Angriffe von Geheimdiensten handeln könnte.
Dies war zumindestens der Stand bis heute.
Nach wie vor ist die LNK-Lücke ungepatcht. Inzwischen wurde die Lücke jedoch auch von Krimminellen als Mittel entdeckt, Angriffe zu starten, denn derzeit sind 2 weitere sSchädlinge im Umlauf (Dunkelziffer wird deutlich höher geschätzt).
Während der erste LNK-Trojaner namens “Stuxnet” noch nach professioneller und gezielter Spionage aussieht, sind die neuen Würmer ei der Wahl des Opfers nicht mehr wählerisch.
Eset beispielsweise hat den schädling Win32/TrojanDownloader.Chymine.A entdeckt, der Kontakt zu einem US-Server aufnimmt um den Keylogger Win32/Spy.Agent.NSO nachzuladen. Zudem soll nun auch der Wurm Win32/Autorun.VB.RP die LNK-Lücke als neuen Verbreitungsweg entdeckt haben. dieser Schädling wird sogar eigenständig aktiv und entwickelt neue verseuchte LNK-Dateien zur schnellen verbreitung des Schädlings.
Der Volle Umfang des Problems ist bis jetzt noch nicht überschaubar. Klar ist nur, dass alle Versionen von Windows seit XP betroffen sind und auch in Links in präparierten Office-Dokumenten sich ein solcher Schadcode verreiten kann. Zudem sollen laut aktuellem Advisory von PIF-Dateien die gleiche Gefahr ausgehen. Core-Security will zudem einen weg gefunden haben, die Lücke auch via eMail auzunutzen. Details gab das Unternehmen jedoch nicht bekannt.
Auch das BSI warnt mit der zweithöchsten Sicherheitsstufe und empfiehlt bis zur Veröffentlichung des Patches an die vom Microsoft Security Advisory entwickelte Überganslösung zu halten. Dies ist zwar die einfachste methode, jedoch muss man Komforteinbußen in Kauf nehmen, denn Windows zeigt dannach alle Verknüpfungen nur noch mit einem “Blank-Icon”:
Die Icons von Verknüpfungen werden zu blanken Icons.
Die bisherige Dokumentation der Lücke wurde Übrigens kommentarlos entfernt. Böse Zungen sind der Meinung, dass dies wegen der eschreibung der Sicherheit auf Seite 48 geschah. (Zitat: “4. Security None.”)
