"Windows LNK-Lücke": Fix-IT verfügbar

[zahni]

Hallo,

für die neue kritische Lücke bei der Verbarbeitung von .LNK-Dateien, stellt Microsoft, bis zum Erscheinen eines Sicherheitsupdates, das folge Fix-It zur Verfügung:

Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution

Es wird dringed empfohlen, dieses Fix-IT oder die in Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution beschriebenen Workarounds zu implementieren.

Weitere Informationen:

Security Advisory 2286198 Updated - The Microsoft Security Response Center (MSRC) - Site Home - TechNet Blogs

[Tulpenknicker]

Hallo, also eine Gefahr ist die LNK-Lücke auf jeden Fall, doch was ich bisher gelesen habe beschreibt, daß die eigentliche Gefahr mal wieder vor dem Monitor sitzt, sprich: Der Anwender der vor dem Rechner sitzt und welcher das Recht hat Software zu installieren, oder sehe ich das falsch? Bisher habe ich gelesen, daß der Schädling gefälschte Sicherheitszertifikate von JMicron oder Realtek vorlegt und diese vom Anwender akzeptiert werden müssen, damit der Trojaner sein unwesen treiben kann.

[Rajin]

Das Stimmt leider nicht ganz.

Soweit ich es verstanden habe genügt das ansehen eines Ordners in dem sich eine Ensprechnde manipulierte .lnk Datei befindet. Dabei ist soweit ich es im Kopf habe nicht die .lnk Datei manipuliert, sondern das Symbolbild.

Über eine sichherheitslücke in der .lnk Verarbeitung wird dann der Schadcode ausgeführt.

Was den Hotfix angeht, denke ich das man diesen zumindest auf Servern anwenden sollte. Auf Clientcomputern halte ich diesen persönlich für eher Unpraktisch, da ja alle Verknüfungssymbole verschwinden und nur der Text übrigbleit.

Für Erfahrene Nutzer natürlich kein Problem. Für nicht Computeraffine Leute ist das dann wohl eher ein Blindflug. (Sind wir doch mal erlich, mindestens die Hälfte der Nutzer hatt keine Ahnung wie die Programme heisen und geht nur nach den bunten Knöpfchen)

Ich zumindest stehe jetzt vor dem Problem. Das Risiko eingehen die Lücke auf den Clientcoputern nicht zu stopfen, oder mich bis ein fix erscheint mit den Usern rumärgern.

Gruß Rajin.

Ps: War das mit den geklauten Zetifikaten nich was anderes? Oder vertu ich mich da?

[GuentherH]

das folge Fix-It zur Verfügung

Aber anscheinend noch nicht ganz ausgereift - heise online - LNK-Lücke: Microsoft-Fix sorgt für Icon-Chaos

Interessant im obigen Artikel - Mitigating .LNK Exploitation With SRP Didier Stevens

LG Günther

[zahni]

Zitat von GuentherH Aber anscheinend noch nicht ganz ausgereift - heise online - LNK-Lücke: Microsoft-Fix sorgt für Icon-Chaos

Ist ja auch kein FIX sondern ein Fix-IT

Ich vermute mal, dass der richtige Hotfix bei MS intern schon fertig ist, aber noch die ganze Testprozedure durchlaufen muß.

-Zahni

[Tulpenknicker]

Mhh, wäre es ein praktikables Mittel eingehende E-Mails auf Dateien mit .lnk Endung zu filtern? Bleibt dann noch die Gefahr, das die User im Internet Unsinn verzapfen, wer sich die Logfiles von den Internetproxies anschaut weiss ja welche Seiten normale User auch in Unternehmen besuchen ...je höher des Posten in einer Firma, desto mehr xxx.....nicht generell, ich konnte sowas jedoch schon mal beobachten.


Nachtrag von heise.de:

"Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe."

Quelle

Das würde ja heisse, daß wenn man den USB-Port per Richtlinie sperrt und nach Aussen kein WebDAV verwendet eigentlich nichts passieren kann, oder?

[Cruel]

Wenn man auf das Iconchaos durch das Fix-it von Microsoft verzichten will, kann man inzwischen auch vorläufig eins der beiden LNK-Checker-Programme von G Data bzw. Sophos installieren.

Antiviren-Hersteller bieten kostenlosen LNK-Schutz [Update] | heise Security

[ralfz]

Hallo.

Ich verstehe die Lücke nicht, XP kann doch DEP seit Servicepack 2, oder? Bilder werden dann nicht ausgeführt, oder? vgl. Data Execution Prevention - Wikipedia, the free encyclopedia

Tschüß

[Cruel]

Schon richtig, DEP wurde (auf XP bezogen) mit dem SP2 installiert, allerdings greift dies hier denke ich nicht.

Denn die Schwachstelle tritt ja auf, wenn der Explorer versucht das Datei-Icon einer infizierten Datei bzw. Verknüpfung anzuzeigen. Der bekanntest Trojaner dieser Art installiert dann wiederum zwei weiter Rootkits, welche für den User "dank" gefälschtem Sicherheitszertifikat unbemerkt bleiben.

Das Bild an sich wird auch, wie du schon sagtest, nicht aufgeführt.. der Trojaner erhält aber durch die fehlende Sicherheitsüberprüfung von Windows, was Icons angeht, den Zugang zum System.

[TSchaefer1976]

Zitat von Tulpenknicker Das würde ja heisse, daß wenn man den USB-Port per Richtlinie sperrt und nach Aussen kein WebDAV verwendet eigentlich nichts passieren kann, oder?

Wär auf jeden Fall "Security by obscurity"