1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Microsoft bestätigt LNK-Schwachstelle in Windows

Dieses Thema im Forum "Archiv "inaktive"" wurde erstellt von camouflage, 19. Juli 2010.

  1. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    [FONT=&quot]Microsoft hat in einer Sicherheitsmitteilung bestätigt, dass es in Windows eine Sicherheitslücke bei der Behandlung von Verknüpfungen gibt. Sie wird von der kürzlich bekannt gewordenen Stuxnet-Malware genutzt.[/FONT]
    [FONT=&quot]Ein offenbar für Industriespionage entwickelter Schädling nutzt eine Sicherheitslücke in Windows, um sich über infizierte USB-Sticks Wurm-artig zu verbreiten. Er installiert ein Rootkit zu seiner Tarnung. Microsoft warnt, die Lücke lasse sich auch über Netzwerkfreigaben ausnutzen. Ein Beispiel-Exploit ist öffentlich verfügbar.[/FONT]
    [FONT=&quot] [/FONT]
    [FONT=&quot]Microsoft gibt in seiner

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    an, die Sicherheitslücke betreffe alle noch unterstützten Windows-Versionen. Dies sind seit letzter Woche nur noch Windows XP SP3, Vista, Windows 7 sowie die Server-Versionen 2003, 2008 und 2008 R2. Die Lücke steckt jedoch auch in älteren Windows-Versionen wie XP SP2 und Windows 2000, die Microsoft nicht mehr unterstützt. In der aktuellen Beta-Version des Service Pack 1 für Windows 7 und Server 2008 R2 ist die Schwachstelle ebenfalls vorhanden.
    [/FONT]
    [FONT=&quot]Ursache ist eine unzureichende Überprüfung der Symbole (Icons) von Verknüpfungsdateien (.LNK) durch die Windows Shell - in der Regel ist das der Windows Explorer. Mit speziell präparierten LNK-Dateien kann die Anfälligkeit ausgenutzt werden, um beliebige Programmdateien auszuführen, deren Speicherort genau angegeben sein muss.[/FONT]
    Angriffe auch übers Netz möglich

    Die kürzlich bekannt gewordene Stuxnet-Malware nutzt diese Lücke über in spezieller Weise infizierte USB-Sticks. Doch Microsoft hat festgestellt, dass sich die Anfälligkeit auch über Netzwerkfreigaben (SMB-Shares) sowie via WebDAV ausnutzen lässt. Das ermöglicht auch Angriffe aus der Ferne, etwa über das Internet.

    Als

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    das Auslesen von Symbolen in LNK-Dateien abzuschalten, SMB-Pakete an der Firewall zu blockieren und den WebClient-Dienst zu deaktivieren. Ersteres führt dabei, dass Verknüpfungssymbole nicht angezeigt werden, was dem Windows-Desktop ein recht ungewohntes Aussehen verleiht. Wird der WebClient-Dienst abgeschaltet, können Anwendungen, die WebDAV nutzen, nicht mehr auf entsprechende Freigaben zugreifen.

    Zum Abschalten der Symbole von LNK-Dateien öffnen Sie des Registry-Editor RegEdit, gehen zum Schlüssel
    HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

    und exportieren diesen zunächst in eine REG-Datei, als Backup. Öffnen Sie dann per Doppelklick in RegEdit den Schlüssel und löschen sie den gespeicherten Wert. Durch Doppelklick im Windows Explorer auf die exportierte REG-Datei können Sie die Änderung wieder rückgängig machen.

    Um den WebClient-Dienst zu deaktivieren, öffnen Sie die Computerverwaltung über die Systemsteuerung (je nach Windows-Version etwas unterschiedlich) und gehen auf "Dienste" - oder starten Sie "services.msc" von der Kommandozeile. Öffnen Sie die Eigenschaften des WebClient-Dienstes und ändern Sie den Starttyp auf "Deaktiviert". Für beide Systemänderungen sind Administratorrechte erforderlich.
    Mittlerweile ist auch Beispiel-Code für die Ausnutzung der LNK-Lücke veröffentlicht worden. Dieser kann auch für Angriffe über das Netzwerk benutzt werden. Wann Microsoft ein Sicherheits-Update bereit stellen wird, hat der Windows-Hersteller noch nicht bekannt gegeben. Möglicherweise geschieht dies noch vor dem nächsten Patch Day, der erst für den 10. August geplant ist.
     
    #1
  2. phantom

    Nervigen User Advertisement

  3. camouflage
    Offline

    camouflage VIP

    Registriert:
    21. März 2008
    Beiträge:
    5.440
    Zustimmungen:
    3.516
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    Ort:
    Tief im Westen
    AW: Microsoft bestätigt LNK-Schwachstelle in Windows

    Microsoft stellt Fix-it-Lösung gegen LNK-Lücke bereit

    Microsoft hat eine Ein-Klick-Lösung zur Abwehr von Malware-Angriffe über die LNK-Lücke bereit gestellt. Außerdem hat Microsoft mitgeteilt, dass die 0-Day-Lücke unter anderem auch mit PIF-Dateien ausgenutzt werden kann. Inzwischen warnt auch das BSI vor der Lücke.
    Seit in der letzten Woche Informationen über einen Spionage-Wurm veröffentlicht wurden, der eine bis dahin nicht bekannte Sicherheitslücke in allen Windows-Versionen ausnutzt, sind häppchenweise etliche neue Erkenntnisse über diese Lücke bekannt geworden. So gibt es offenbar neben USB-Sticks eine Reihe weiterer Angriffsvektoren.

    Während sich die Stuxnet-Malware über auf spezielle Weise infizierte USB-Sticks verbreitet, kann die LNK-Lücke auch über Netzwerkfreigaben und WebDAV ausgenutzt werden. Microsoft hat inzwischen weitere Angriffsvektoren entdeckt und seine

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    mehr als einmal aktualisiert. Neben LNK-Dateien (Verknüpfungen) können demnach auch präparierte PIF-Dateien (Program Information File) eingesetzt werden, eine Altlast aus alten 16-Bit-Windows-Versionen. LNK- wie PIF-Dateien sind schon seit Jahren als unsicher bekannt, wenn auch aus anderen Gründen.
    Microsoft gibt weiterhin an, dass auch Dokumente wie zum Beispiel Office-Dateien, die Dateiverknüpfungen enthalten können, als Angriffsvektoren dienen können. Spätestens damit ist zu erwarten, dass es in absehbarer Zeit auf breiter Front zu Malware-Angriffen kommen kann, die mit präparierten Mail-Anhängen oder Downloads erfolgen.
    Fix-it-Lösung als Workaround


    Microsoft hat seine Palette so genannter Fix-it-Lösungen um einen Workaround für die LNK-Lücke erweitert. Der

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    stellt diese Ein-Klick-Lösung bereit sowie eine gleichartige Möglichkeit diesen Workaround wieder rückgängig zu machen. Dadurch muss die von Microsoft bereits früher vorgeschlagene Registry-Änderung nicht mehr manuell vorgenommen werden.

    Diese Lösung hat allerdings den Nachteil, dass Verknüpfungssymbole etwa in der Schnellstartleiste und im Startmenü nicht mehr angezeigt sondern durch nichts sagende Standarddateisymbole ersetzt werden. Diese Komforteinbuße sollten Sie jedoch vorübergehend hin nehmen, denn sie schützt den Rechner vor der Ausnutzung der Sicherheitslücke, bis Microsoft eine richtige Lösung bereit stellt. Für ältere Windows-Versionen wie Windows 2000 oder XP SP2, für die Microsoft keine Sicherheits-Updates mehr liefert, könnte dies allerdings zur Dauerlösung werden.

    Unterdessen hat Siemens bestätigt, dass zumindest ein deutsches Industrieunternehmen, das die Siemens-Software Step7 und/oder WinCC einsetzt, Opfer der Stuxnet-Malware geworden ist. Die Stuxnet-Malware sucht speziell nach Rechnern mit dieser Simatic-Software für die Steuerung von Industrieanlagen. Die Siemens-Software benutzt ein fest vorgegebenes Passwort für den Datenbankzugriff, das nicht geändert werden darf.

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    zu diesem Problem veröffentlicht.
    Exploit-Code für die Ausnutzung der LNK-Lücke ist öffentlich verfügbar, auch als Metasploit-Modul für Penetrationstests. Das Abschalten von Autorun und Autoplay für Wechseldatenträger hilft nicht gegen die Ausnutzung dieser neuen Sicherheitslücke.
    Das

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    hat ebenfalls eine Warnmeldung heraus gegeben. Darin empfiehlt das BSI die Anwendung der von Microsoft vorgeschlagenen Workarounds.
     
    #2
  4. Anderl
    Offline

    Anderl Administrator Digital Eliteboard Team

    Registriert:
    30. November 2007
    Beiträge:
    17.347
    Zustimmungen:
    99.643
    Punkte für Erfolge:
    113
    Geschlecht:
    männlich
    AW: Microsoft bestätigt LNK-Schwachstelle in Windows

    Windows LNK-Lücke: Sophos-Tool blockt Angriffe

    Der Sicherheitsdienstleister Sophos hat ein kleines, kostenloses Tool veröffentlicht, das Angriffe auf die jüngst bekannt gewordene Schwachstelle in Windows verhindern soll, die Verknüpfungsdateien betrifft.

    Das so genannte Sophos Windows Shortcut Exploit Protection Tool soll die Anwender so lange vor Attacken

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?

    , bis Microsoft einen Patch für die Lücke bereit stellt. Der Icon-Handler von Windows wird durch das Tool ersetzt, so dass alle Zugriffe darauf abgefangen werden.
    Microsoft will auch in diesem Fall die Verwendung von Lösungen von Drittanbietern nicht unterstützen und rät stattdessen zur Anwendung des vor kurzem vorgestellten Workaround-Ansatzes. Der Konzern kann nach eigenen Angaben keine Garantie für eine einwandfreie Funktion von vorläufigen Patches oder Tools wie dem von Sophos übernehmen.

    Microsofts Workaround sorgt allerdings dafür, dass die Symbole von Verknüpfungen durch Standard-Bilder ersetzt werden, so dass Windows unter Umständen fast unbenutzbar wird. Das Programm von Sophos belässt die Symbole hingegen in ihrem Originalzustand.

    Das Tool prüft bei jeder Verknüpfung, ob durch sie versucht wird, die Schwachstelle in Windows auszunutzen. Ist dies der Fall und es wird versucht eine ausführbare Datei oder eine .DLL aufzurufen, wird eine Warnung angezeigt. Microsoft arbeitet derweil unter Hochdruck an einem Patch, da jedoch die wichtige Systemdatei Shell32.dll betroffen ist, benötigen die Entwickler viel Zeit für Tests, um spätere Probleme zu vermeiden.

    Weitere Informationen:

    Dieser Link ist nur für Mitglieder!!! Jetzt kostenlos Registrieren ?



    Quelle:winfuture
     
    #3

Diese Seite empfehlen