Deutsch | English

Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

20. Juli 2010

Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird aktiv ausgenutzt.

Beschreibung

Praktisch alle Versionen von Microsoft Windows enthalten eine Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet werden kann. Microsoft hat dazu ein Advisory veröffentlicht; korrigierte Versionen der fehlerhaften Windows-Komponente sind noch nicht verfügbar.

Der Fehler wurde von VirusBlokAda im Kontext einer Analyse einer Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten (interessanterweise als korrekt signierte Treiber) und scheint es primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung betrifft vor allem Iran und Indonesien. Diese Schadsoftware wird mittlerweilen gut von AV-Software erkannt.

Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.

Details

Der Fehler ist in der Windows Shell, und damit überall relevant, wo Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:
  • Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
  • Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server könnten aber auch per Email verschickt werden.
  • .LNK-Files als Email-Attachments
Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke könnte aber durchaus von einem aggressiven Wurm zur Verbreitung ausgenutzt werden.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in großem Stil ausgenutzt wird.

Betroffene Systeme

Praktisch alle Microsoft Windows Systeme. Zu beachten ist im Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von Microsoft unterstützt werden.

Abhilfe

Das Microsoft Advisory beschreibt unter "Workarounds", wie das Anzeigen von Icons von .LNK Files und das Webclient Service abgeschalten werden kann.

Laut Sophos hilft es auch, per Gruppenrichtlinien das Ausführen von Programmen auf lokale Datenträger einzuschränken.

Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten daher vor einem Ausrollen getestet werden.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/2286198.mspx
US-CERT Vulnerability Note VU#940193
http://www.kb.cert.org/vuls/id/940193
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
Demo Exploit
http://www.exploit-db.com/exploits/14403/
Metasploit
Metasploit Modul
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
F-Secure Blog
http://www.f-secure.com/weblog/archives/00001987.html
Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Kritische Sicherheitslücken in Adobe Flash Player/Libraries - Patches nun auch für Microsoft Browser verfügbar
22. Februar 2017 | Beschreibung Adobe ...
Update: Kritische Lücke in Microsoft Windows ermöglicht DoS / Remote Code Execution via SMB - Updates nun verfügbar
3. Februar 2017 | ...
mehr ...
Workaround? Abdrehen!
21. März 2017 | Langsam ...
Propaganda auf Twitter
15. März 2017 | Der echte ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2013/7/17 - 17:00:08
Haftungsausschluss