Jump to content
Sign in to follow this  
zahni

"Windows LNK-Lücke": Fix-IT verfügbar

Recommended Posts

Hallo,

 

für die neue kritische Lücke bei der Verbarbeitung von .LNK-Dateien, stellt Microsoft, bis zum Erscheinen eines Sicherheitsupdates, das folge Fix-It zur Verfügung:

 

Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution

 

Es wird dringed empfohlen, dieses Fix-IT oder die in Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution beschriebenen Workarounds zu implementieren.

 

Weitere Informationen:

 

Security Advisory 2286198 Updated - The Microsoft Security Response Center (MSRC) - Site Home - TechNet Blogs

Share this post


Link to post

Hallo, also eine Gefahr ist die LNK-Lücke auf jeden Fall, doch was ich bisher gelesen habe beschreibt, daß die eigentliche Gefahr mal wieder vor dem Monitor sitzt, sprich: Der Anwender der vor dem Rechner sitzt und welcher das Recht hat Software zu installieren, oder sehe ich das falsch? Bisher habe ich gelesen, daß der Schädling gefälschte Sicherheitszertifikate von JMicron oder Realtek vorlegt und diese vom Anwender akzeptiert werden müssen, damit der Trojaner sein unwesen treiben kann.

Share this post


Link to post

Das Stimmt leider nicht ganz.

 

Soweit ich es verstanden habe genügt das ansehen eines Ordners in dem sich eine Ensprechnde manipulierte .lnk Datei befindet. Dabei ist soweit ich es im Kopf habe nicht die .lnk Datei manipuliert, sondern das Symbolbild.

 

Über eine sichherheitslücke in der .lnk Verarbeitung wird dann der Schadcode ausgeführt.

 

Was den Hotfix angeht, denke ich das man diesen zumindest auf Servern anwenden sollte. Auf Clientcomputern halte ich diesen persönlich für eher Unpraktisch, da ja alle Verknüfungssymbole verschwinden und nur der Text übrigbleit.

 

Für Erfahrene Nutzer natürlich kein Problem. Für nicht Computeraffine Leute ist das dann wohl eher ein Blindflug. (Sind wir doch mal erlich, mindestens die Hälfte der Nutzer hatt keine Ahnung wie die Programme heisen und geht nur nach den bunten Knöpfchen)

 

Ich zumindest stehe jetzt vor dem Problem. Das Risiko eingehen die Lücke auf den Clientcoputern nicht zu stopfen, oder mich bis ein fix erscheint mit den Usern rumärgern.

 

Gruß Rajin.

 

Ps: War das mit den geklauten Zetifikaten nich was anderes? Oder vertu ich mich da?

Share this post


Link to post

Mhh, wäre es ein praktikables Mittel eingehende E-Mails auf Dateien mit .lnk Endung zu filtern? Bleibt dann noch die Gefahr, das die User im Internet Unsinn verzapfen, wer sich die Logfiles von den Internetproxies anschaut weiss ja welche Seiten normale User auch in Unternehmen besuchen :D...je höher des Posten in einer Firma, desto mehr xxx.....nicht generell, ich konnte sowas jedoch schon mal beobachten. ;)

 

 

Nachtrag von heise.de:

 

"Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe."

 

Quelle

 

Das würde ja heisse, daß wenn man den USB-Port per Richtlinie sperrt und nach Aussen kein WebDAV verwendet eigentlich nichts passieren kann, oder?

Share this post


Link to post

Schon richtig, DEP wurde (auf XP bezogen) mit dem SP2 installiert, allerdings greift dies hier denke ich nicht.

 

Denn die Schwachstelle tritt ja auf, wenn der Explorer versucht das Datei-Icon einer infizierten Datei bzw. Verknüpfung anzuzeigen. Der bekanntest Trojaner dieser Art installiert dann wiederum zwei weiter Rootkits, welche für den User "dank" gefälschtem Sicherheitszertifikat unbemerkt bleiben.

 

Das Bild an sich wird auch, wie du schon sagtest, nicht aufgeführt.. der Trojaner erhält aber durch die fehlende Sicherheitsüberprüfung von Windows, was Icons angeht, den Zugang zum System.

Share this post


Link to post

 

Das würde ja heisse, daß wenn man den USB-Port per Richtlinie sperrt und nach Aussen kein WebDAV verwendet eigentlich nichts passieren kann, oder?

 

Wär auf jeden Fall "Security by obscurity"

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...