Windows-Sicherheitslücke durch Verknüpfungen

mat 21.07.2010 7490 8

Normalerweise halten wir uns bei Viruswarnungen und dergleichen raus, aber nachdem Microsoft seit über eine Woche einen mehr als ernsten Exploit über Verknüpfungsdateien (.lnk und .pif) noch immer nicht gefixt hat, bleibt uns gar nichts anderes über. Betroffen sind alle aktuellen Windows-Versionen ab XP!

Der Exploit nutzt einen ungesicherten Parameter beim Einlesen des zugehörigen Icons einer LNK- oder PIF-Datei, um eine beliebige Datei auszuführen. Dazu kommt es sobald der Ordner mit der modifizierten Verknüpfungsdatei geöffnet wird, egal ob per Windows Explorer oder Autoplay von USB-Sticks. Doch es sind nicht nur lokale Folder von dem Problem betroffen, auch auf freigegebenen Ordnern in der Netzwerkumgebung und bei Zugriff via WebDAV kann schadhafter Code ausgeführt werden.

Anfangs wurden Angriffe über diese Sicherheitslücke nur für spezielle Ziele verwendet, sodass der Verbreitungsgrad der damit gefertigten Rootkits sehr gering ist. Doch mittlerweile ist die Sicherheitslücke sehr populär und wird sogar schon vom Security-Framework metasploit implementiert. Weitere Viren, Würmer, Rootkits und dergleichen werden also in Kürze mit einer weit höheren Verbreitung unterwegs sein.

Microsoft hat zwar schon reagiert, empfiehlt derzeit allerdings bloß, die Icons von Verknüpfungen per Registry-Key auszuschalten. Dazu muss HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler bzw. HKEY_CLASSES_ROOT\piffile\shellex\IconHandler mit einem Leerstring als Wert versehen werden. Danach schaut die Windows-Oberfläche allerdings nicht mehr ganz so knackig aus, denn es werden keine Icons mehr dargestellt. Zusätzlich rät Microsoft dazu, den WebClient-Dienst zu deaktivieren und somit die integrierten WebDAV-Funktionen von Windows lahmzulegen. Außerdem sollte der Internetzugang zu LNK- und PIF-Dateien schon über die Netzwerkinfrastruktur verhindert werden.

Die temporären Lösungen von Microsoft sind nicht tauglich für den Alltag!

Natürlich arbeiten auch die bekannten Antivirus-Hersteller an Erkennungsmechanismen, doch bis dato soll diesen noch sehr unausgereift sein und keinen vollwertigen Schutz bieten können. Wer sich traut, kann natürlich auch zu diversen Tools der anonymen Internet-Bürgerwehr greifen, die eine besser Übergangslösung sein könnten, als es beim Deaktivieren aller Icons der Fall ist. Eine richtige Lösung muss allerdings von Microsoft selbst kommen, auch wenn noch immer nicht klar ist, ab wann mit einem Patch zu rechnen sein wird. Auf alle Fälle ist derzeit größte Vorsicht angesagt - besonders im Umgang mit USB-Speichermedien!

Quellen: isc.sans.edu | heise.de
Links: metasploit.com | blogs.technet.com | Selbsthilfe-Projekt als Provisorium?

Update, 3.8.

Ein außerplanmäßiger Patch über die Windows-Update-Funktion steht nun ~~endlich~~ Verfügung, um dieses Problem zu beheben.

» Beitrag diskutieren (8 Kommentare)