20. Juli 2010
Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird aktiv ausgenutzt.
Beschreibung
Praktisch alle Versionen von Microsoft Windows enthalten eine
Sicherheitslücke in der Behandlung von .LNK Files, durch
die schon beim Anzeigen des Icons (etwa im Explorer-Fenster)
Schadcode gestartet werden kann. Microsoft hat dazu ein
Advisory
veröffentlicht; korrigierte Versionen der fehlerhaften
Windows-Komponente sind noch nicht verfügbar.
Der Fehler wurde von VirusBlokAda im Kontext
einer Analyse einer Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten
(interessanterweise als korrekt signierte Treiber) und scheint es primär auf Siemens SCADA Systeme abgesehen
zu haben. Die Verbreitung betrifft vor allem
Iran
und Indonesien. Diese Schadsoftware wird mittlerweilen gut von AV-Software erkannt.
Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und Demo Exploits sind
verfügbar (sogar schon als Metasploit-Modul). Daher ist schon weitere Malware
im Umlauf, die diese Lücke aktiv ausnutzt.
Details
Der Fehler ist in der Windows Shell, und damit überall relevant, wo Icons zu .LNK Files angezeigt werden.
Das trifft etwa zu auf:
- Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun
(wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
- Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu
im Internet erreichbaren WedDAV-Server könnten aber auch per Email verschickt werden.
- .LNK-Files als Email-Attachments
Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke
könnte aber durchaus von einem aggressiven Wurm zur Verbreitung
ausgenutzt werden.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in großem Stil ausgenutzt wird.
Betroffene Systeme
Praktisch alle Microsoft Windows Systeme. Zu beachten ist im
Microsoft
Advisory, dass Windows XP SP2 und Windows 2000 nur
deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von
Microsoft unterstützt werden.
Abhilfe
Das
Microsoft
Advisory beschreibt unter "Workarounds", wie das Anzeigen von Icons von .LNK Files und
das Webclient Service abgeschalten werden kann.
Laut Sophos hilft es auch, per Gruppenrichtlinien das Ausführen von Programmen auf lokale Datenträger einzuschränken.
Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten Fall nur die Verwirrung
von Usern durch ungewohnte Icons), und sollten daher vor einem Ausrollen getestet werden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):Microsoft Advisoryhttp://www.microsoft.com/technet/security/advisory/2286198.mspxUS-CERT Vulnerability Note VU#940193http://www.kb.cert.org/vuls/id/940193Meldung von Heise Securityhttp://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.htmlDemo Exploithttp://www.exploit-db.com/exploits/14403/MetasploitMetasploit ModulSophos Bloghttp://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/F-Secure Bloghttp://www.f-secure.com/weblog/archives/00001987.html