[Warning] Kritischer Fehler in der Behandlung von .LNK Dateien unter Windows
Otmar Lendl
lendl at cert.at
Tue Jul 20 15:09:47 CEST 2010
20. Juli 2010
Fehler in der Windows Shell bei der Verarbeitung von .LNK Dateien wird
aktiv ausgenutzt.
Beschreibung
Praktisch alle Versionen von Microsoft Windows enthalten eine
Sicherheitslücke in der Behandlung von .LNK Files, durch die schon beim
Anzeigen des Icons (etwa im Explorer-Fenster) Schadcode gestartet
werden kann. Microsoft hat dazu ein Advisory [1] veröffentlicht;
korrigierte Versionen der fehlerhaften Windows-Komponente sind noch
nicht verfügbar.
Der Fehler wurde von VirusBlokAda [2] im Kontext einer Analyse einer
Schadsoftware (Stuxnet) entdeckt. Diese enthält Root-Kit Komponenten
(interessanterweise als korrekt signierte Treiber) und scheint es
primär auf Siemens SCADA Systeme abgesehen zu haben. Die Verbreitung
betrifft vor allem Iran und Indonesien [3]. Diese Schadsoftware wird
mittlerweilen gut von AV-Software erkannt.
Inzwischen sind Details zu dieser Schwachstelle allgemein bekannt und
Demo Exploits sind verfügbar (sogar schon als Metasploit-Modul). Daher
ist schon weitere Malware im Umlauf, die diese Lücke aktiv ausnutzt.
Details
Der Fehler ist in der Windows Shell, und damit überall relevant, wo
Icons zu .LNK Files angezeigt werden. Das trifft etwa zu auf:
* Anzeigen des Inhaltes von USB-Sticks oder Fileshares. Ein
aktiviertes Autorun (wie es etwa Conficker ausgenutzt hatte) ist
nicht nötig, ein simples "Explore" reicht.
* Anzeigen von WebDAV Verzeichnissen. Relevant sind hier primär
SharePoint Server; Links zu im Internet erreichbaren WedDAV-Server
könnten aber auch per Email verschickt werden.
* .LNK-Files als Email-Attachments
Aktuell sehen wir keine Massenausbreitung von Malware, diese Lücke
könnte aber durchaus von einem aggressiven Wurm zur Verbreitung
ausgenutzt werden.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet. Es ist zu
erwarten, dass diese einfach auszunutzende Schwachstelle schon bald in
großem Stil ausgenutzt wird.
Betroffene Systeme
Praktisch alle Microsoft Windows Systeme. Zu beachten ist im
Microsoft Advisory, dass Windows XP SP2 und Windows 2000 nur
deswegen dort nicht angeführt werden, da diese nicht mehr offiziell von
Microsoft unterstützt werden.
Abhilfe
Das Microsoft Advisory beschreibt unter "Workarounds", wie das
Anzeigen von Icons von .LNK Files und das Webclient Service
abgeschalten werden kann.
Laut Sophos [4] hilft es auch, per Gruppenrichtlinien das Ausführen von
Programmen auf lokale Datenträger einzuschränken.
Diese Maßnahmen haben potentiell unerwünschte Seiteneffekte (im besten
Fall nur die Verwirrung von Usern durch ungewohnte Icons), und sollten
daher vor einem Ausrollen getestet werden.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Links
1. http://www.microsoft.com/technet/security/advisory/2286198.mspx
2. http://anti-virus.by/en/tempo.shtml
3. http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx
4.
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
Weitere Quellen
5. http://www.kb.cert.org/vuls/id/940193
6.
http://www.heise.de/security/meldung/Exploit-demonstriert-kritische-Windows-LNK-Luecke-1039997.html
7. http://www.exploit-db.com/exploits/14403/
8.
http://www.metasploit.com/redmine/projects/framework/repository/revisions/9869/entry/modules/exploits/windows/browser/ms10_xxx_windows_shell_lnk_execute.rb
9.
http://www.sophos.com/blogs/chetw/g/2010/07/16/windows-day-attack-works-windows-systems/
10. http://www.f-secure.com/weblog/archives/00001987.html
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100720/f86815ac/attachment.sig>
More information about the Warning
mailing list