Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

10. Juni 2010
Update am 11. Juni 2010

Remote Code Execution - CERT.at ersucht um Beachtung der folgenden Meldung.

Beschreibung

Wie Heise Security berichtet, gibt es aktuell ein Problem mit dem Microsoft Windows Hilfe- und Supportcenter, speziell mit der Funktion des Nachladens von Hilfedokumenten aus dem Internet per
hcp://
-URLs.
Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer entsprechend präparierten Webseite beliebigen Code mit den Rechten des Benutzers auszuführen.

Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter installiert ist. Dies werden vermutlich alle Systeme von Windows XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.

Der Beispiel-Exploit funktioniert derzeit auf einem vollständig gepatchten System mit

  • Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9
Der Author des Beispiel-Exploits gibt jedoch an, dass eine Portierung auf andere Konstellationen trivial sein sollte.

Update (11. Juni 2010):
Microsoft hat mittlerweile ein Advisory dazu herausgegeben.
Laut diesem soll das Problem auf Windows 2000, Vista, 7 und Server 2008 nicht auftreten, es sind nur Windows XP und Server 2003 betroffen.

Abhilfe

Bis ein Patch seitens Microsoft zur Verfügung steht, kann das Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys "
HKEY_CLASSES_ROOT/HCP/shell/open
" deaktiviert werden.
Sollte eine Organisation auf diese Funktionalität angewiesen sein, stellt der Author auch dafür einen Hotfix bereit, den wir jedoch nicht getestet haben und daher keine Aussage darüber machen können.

Update (11. Juni 2010):
Laut dem mittlerweile vorliegenden Advisory von Microsoft reicht es nicht, den oben angeführten Registry-Key zu entfernen, es muss der komplette Sub-Tree "
HKEY_CLASSES_ROOT/HCP
" gelöscht werden, Details bitte dem Advisory von Microsoft zu entnehmen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
Update: Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2219475.mspx