Kritische Windows-LNK-Lücke

von Marcus Ley,
assono GmbH, Standort Kiel,


Seit dem 16. Juli gibt es eine Security Adisory (2286198) von Microsoft bezüglich einer Schwachstelle in Windows Systemen von XP bis 7. Dies betrifft alle Versionen inklusive der Server- Derivate. Die Schwachstelle findet sich in Form eines Fehlers beim Laden von Verknüpfungs-Icons. Es ist möglich Schadcode auszuführen, wenn ein präpariertes LNK- oder PIF-File geladen wird.

Dies geschieht nicht nur beim Öffnen einer solchen Datei. Es genügt bereits, dass die Datei im Windows Explorer oder einem anderen Dateibrowser mit grafischer Darstellung (z.B. Total Commander) angezeigt wird. Die Quelle der Datei ist dafür unerheblich. Es kann sowohl von einem USB-Stick oder einer CD-ROM, als auch über ein Netzlaufwerk geschehen. Die Angriffsfläche ist demnach extrem groß.


Weiterhin sind die Auswirkungen absolut fatal. Durch die Sicherheitslücke kann Schadcode in Form von Rootkits eingeschleust werden. Diese wären dem Benutzer gegenüber unsichtbar und auch vor Anti-Virus-Software gefeit. Hat der Nutzer des infizierten Systems dazu noch Administratorrechte steht dem Angreifer ein ganzes System zur Verfügung.

Einen Fix gibt es derzeit von Microsoft noch nicht. Es gibt einen recht unschönen Workaround, der darauf basiert, das Laden von Icons bei LNK- und PIF-Dateien zu unterbinden.
Das führt dazu, dass Startmenü und Desktop unübersichtlich werden können. Dennoch ist dies der einzige Weg, sein System vor der Schwachstelle zu schützen.

Gemäß der Security Advisory gibt es zwei Registry-Keys, deren Werte zu löschen sind. Dies betrifft
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler] und
[HKEY_CLASSES_ROOT\piffile\shellex\IconHandler].

Wer nicht eigenhändig in der Registry arbeiten möchte, kann sich vorgefertigte MSIs von Microsoft herunterladen.
Es gibt jeweils eine, um die Werte der betroffenen Registry-Keys zu löschen und wiederherzustellen. Anschließend ist der Explorer neu zu starten oder das System einmal neu zu booten.

So lange es keinen Patch von Microsoft gibt, ist diese Maßnahme zu ergreifen, um sich zu schützen! Das Internet Storm Center hat zwischenzeitlich den Gefahrenlevel der Lücke auf "gelb" erhöht, um auf die Ernsthaftigkeit der Lage hinzuweisen. Bis zu einer größeren Angriffswelle ist es vermutlich nur eine Frage der Zeit.


Quellen:
Microsoft Security Advisory (2286198)
Microsoft Support Fix
ISC Threat Alert Level

Fachbeitrag Administration Windows

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie wollen eine individuelle Lösung? Kontaktieren Sie uns

Weitere interessante Artikel

IBM Cognos Analytics 11.0.9 (R9)

IBM Cognos Analytics 11.0.9 (R9)

Erst Mitte November hatten wir über Neuerung in der Version 11.0.8 gebloggt. Knapp ein Monat später veröffentlicht IBM die Version 11.0.9 … Mehr

von
Filip Meyer
,

Sie haben Fragen? Wir sind für Sie da.

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Sie können uns auf verschiedene Weisen für eine unverbindliche Erstberatung erreichen:

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 407
Techn. Hotline: +49 4307 900 403
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de