Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows
Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird aktiv ausgenutzt.
Beschreibung
Praktisch alle Versionen von Microsoft Windows enthalten eine Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet werden kann. Microsoft hat dazu ein Advisory veröffentlicht; korrigierte Versionen der fehlerhaften Windows-Komponente sind noch nicht verfügbar.Der Fehler wurde von VirusBlokAda im Kontext einer Analyse einer Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten (interessanterweise als korrekt signierte Treiber) und scheint es primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung betrifft vor allem Iran und Indonesien. Diese Schadsoftware wird mittlerweilen gut von AV-Software erkannt.
Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.
Details
Der Fehler ist in der Windows Shell, und damit überall relevant, wo Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:- Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist nicht nötig, ein simples "Explore" reicht.
- Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server könnten aber auch per Email verschickt werden.
- .LNK-Files als Email-Attachments
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in großem Stil ausgenutzt wird.Betroffene Systeme
Praktisch alle Microsoft Windows Systeme. Zu beachten ist im Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von Microsoft unterstützt werden.Abhilfe
Das Microsoft Advisory beschreibt unter "Workarounds", wie das Anzeigen von Icons von .LNK Files und das Webclient Service abgeschalten werden kann.Laut Sophos hilft es auch, per Gruppenrichtlinien das Ausführen von Programmen auf lokale Datenträger einzuschränken.
Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten daher vor einem Ausrollen getestet werden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.Informationsquelle(n):
Microsoft Advisory
http://www.microsoft.com/technet/security/advisory/2286198.mspx
US-CERT Vulnerability Note VU#940193
http://www.kb.cert.org/vuls/id/940193
Meldung von Heise Security
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
Demo Exploit
http://www.exploit-db.com/exploits/14403/
Metasploit
Metasploit Modul
Sophos Blog
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
F-Secure Blog
http://www.f-secure.com/weblog/archives/00001987.html