[Warning] Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows

Otmar Lendl lendl at cert.at
Tue Jul 20 15:09:47 CEST 2010 

20. Juli 2010

   Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird
   aktiv ausgenutzt.

Beschreibung

   Praktisch alle Versionen von Microsoft Windows enthalten eine
   Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim
   Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet
   werden kann. Microsoft hat dazu ein Advisory [1] veröffentlicht;
   korrigierte Versionen der fehlerhaften Windows-Komponente sind noch
   nicht verfügbar.

   Der Fehler wurde von VirusBlokAda [2] im Kontext einer Analyse einer
   Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten
   (interessanterweise als korrekt signierte Treiber) und scheint es
   primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung
   betrifft vor allem Iran und Indonesien [3]. Diese Schadsoftware wird
   mittlerweilen gut von AV-Software erkannt.

   Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und
   Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher
   ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.

Details

   Der Fehler ist in der Windows Shell, und damit überall relevant, wo
   Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:

     * Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein
       aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist
       nicht nötig, ein simples "Explore" reicht.

     * Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär
       SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server
       könnten aber auch per Email verschickt werden.

     * .LNK-Files als Email-Attachments

   Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke
   könnte aber durchaus von einem aggressiven Wurm zur Verbreitung
   ausgenutzt werden.

Auswirkungen

   Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
   alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
   VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu
   erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in
   großem Stil ausgenutzt wird.

Betroffene Systeme

   Praktisch alle Microsoft Windows Systeme. Zu beachten ist im
   Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur
   deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von
   Microsoft unterstützt werden.

Abhilfe

   Das Microsoft Advisory beschreibt unter "Workarounds", wie das
   Anzeigen von Icons von .LNK Files und das Webclient Service
   abgeschalten werden kann.

   Laut Sophos [4] hilft es auch, per Gruppenrichtlinien das Ausführen von
   Programmen auf lokale Datenträger einzuschränken.

   Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten
   Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten
   daher vor einem Ausrollen getestet werden.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

Links

   1. http://www.microsoft.com/technet/security/advisory/2286198.mspx
   2. http://anti-virus.by/en/tempo.shtml
   3. http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
   4.
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/

Weitere Quellen

   5. http://www.kb.cert.org/vuls/id/940193
   6.
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
   7. http://www.exploit-db.com/exploits/14403/
   8.
http://www.metasploit.com/redmine/projects/framework/repository/revisions/9869/entry/modules/exploits/windows/browser/ms10_xxx_windows_shell_lnk_execute.rb
   9.
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
  10. http://www.f-secure.com/weblog/archives/00001987.html


-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100720/f86815ac/attachment.sig>

More information about the Warning mailing list