Jump to content

"Windows LNK-Lücke": Fix-IT verfügbar


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

für die neue kritische Lücke bei der Verbarbeitung von .LNK-Dateien, stellt Microsoft, bis zum Erscheinen eines Sicherheitsupdates, das folge Fix-It zur Verfügung:

 

Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution

 

Es wird dringed empfohlen, dieses Fix-IT oder die in Microsoft Security Advisory (2286198): Vulnerability in Windows Shell Could Allow Remote Code Execution beschriebenen Workarounds zu implementieren.

 

Weitere Informationen:

 

Security Advisory 2286198 Updated - The Microsoft Security Response Center (MSRC) - Site Home - TechNet Blogs

Link zu diesem Kommentar

Hallo, also eine Gefahr ist die LNK-Lücke auf jeden Fall, doch was ich bisher gelesen habe beschreibt, daß die eigentliche Gefahr mal wieder vor dem Monitor sitzt, sprich: Der Anwender der vor dem Rechner sitzt und welcher das Recht hat Software zu installieren, oder sehe ich das falsch? Bisher habe ich gelesen, daß der Schädling gefälschte Sicherheitszertifikate von JMicron oder Realtek vorlegt und diese vom Anwender akzeptiert werden müssen, damit der Trojaner sein unwesen treiben kann.

Link zu diesem Kommentar

Das Stimmt leider nicht ganz.

 

Soweit ich es verstanden habe genügt das ansehen eines Ordners in dem sich eine Ensprechnde manipulierte .lnk Datei befindet. Dabei ist soweit ich es im Kopf habe nicht die .lnk Datei manipuliert, sondern das Symbolbild.

 

Über eine sichherheitslücke in der .lnk Verarbeitung wird dann der Schadcode ausgeführt.

 

Was den Hotfix angeht, denke ich das man diesen zumindest auf Servern anwenden sollte. Auf Clientcomputern halte ich diesen persönlich für eher Unpraktisch, da ja alle Verknüfungssymbole verschwinden und nur der Text übrigbleit.

 

Für Erfahrene Nutzer natürlich kein Problem. Für nicht Computeraffine Leute ist das dann wohl eher ein Blindflug. (Sind wir doch mal erlich, mindestens die Hälfte der Nutzer hatt keine Ahnung wie die Programme heisen und geht nur nach den bunten Knöpfchen)

 

Ich zumindest stehe jetzt vor dem Problem. Das Risiko eingehen die Lücke auf den Clientcoputern nicht zu stopfen, oder mich bis ein fix erscheint mit den Usern rumärgern.

 

Gruß Rajin.

 

Ps: War das mit den geklauten Zetifikaten nich was anderes? Oder vertu ich mich da?

Link zu diesem Kommentar

Mhh, wäre es ein praktikables Mittel eingehende E-Mails auf Dateien mit .lnk Endung zu filtern? Bleibt dann noch die Gefahr, das die User im Internet Unsinn verzapfen, wer sich die Logfiles von den Internetproxies anschaut weiss ja welche Seiten normale User auch in Unternehmen besuchen :D...je höher des Posten in einer Firma, desto mehr xxx.....nicht generell, ich konnte sowas jedoch schon mal beobachten. ;)

 

 

Nachtrag von heise.de:

 

"Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe."

 

Quelle

 

Das würde ja heisse, daß wenn man den USB-Port per Richtlinie sperrt und nach Aussen kein WebDAV verwendet eigentlich nichts passieren kann, oder?

Link zu diesem Kommentar

Schon richtig, DEP wurde (auf XP bezogen) mit dem SP2 installiert, allerdings greift dies hier denke ich nicht.

 

Denn die Schwachstelle tritt ja auf, wenn der Explorer versucht das Datei-Icon einer infizierten Datei bzw. Verknüpfung anzuzeigen. Der bekanntest Trojaner dieser Art installiert dann wiederum zwei weiter Rootkits, welche für den User "dank" gefälschtem Sicherheitszertifikat unbemerkt bleiben.

 

Das Bild an sich wird auch, wie du schon sagtest, nicht aufgeführt.. der Trojaner erhält aber durch die fehlende Sicherheitsüberprüfung von Windows, was Icons angeht, den Zugang zum System.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...