[Warning] Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter

Robert Waldner waldner at cert.at
Thu Jun 10 13:19:03 CEST 2010 

10. Juni 2010

   Remote Code Execution - CERT.at ersucht um Beachtung der folgenden
   Meldung.

Beschreibung

   Wie Heise Security berichtet[1], gibt es aktuell ein Problem mit dem
   Microsoft Windows Hilfe- und Supportcenter, speziell mit der
   Funktion des Nachladens von Hilfedokumenten aus dem Internet per
   hcp://-URLs.
   Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer
   entsprechend präparierten Webseite beliebigen Code mit den Rechten
   des Benutzers auszuführen.

   Ein Patch seitens Microsoft steht noch nicht zur Verfügung.

Auswirkungen

   Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
   ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
   alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
   VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
   Es ist zu erwarten, dass diese Schwachstelle schon bald in großem
   Stil ausgenützt wird.

Betroffene Systeme

   Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter
   installiert ist. Dies werden vermutlich alle Systeme von Windows
   XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass
   dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.

   Der Beispiel-Exploit funktioniert derzeit auf einem vollständig
   gepatchten System mit
     * Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9

   Der Author des Beispiel-Exploits gibt jedoch an[2], dass eine
   Portierung auf andere Konstellationen trivial sein sollte.

Abhilfe

   Bis ein Patch seitens Microsoft zur Verfügung steht, kann das
   Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys
   "HKEY_CLASSES_ROOT/HCP/shell/open" deaktiviert werden.
   Sollte eine Organisation auf diese Funktionalität angewiesen sein,
   stellt der Author auch dafür einen Hotfix bereit, den wir jedoch
   nicht getestet haben und daher keine Aussage darüber machen können.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   1. Meldung bei Heise Security

http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
   2. Originales Advisory von Tavis Ormandy (englisch)
   http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY


-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 197 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100610/06d6f329/attachment.sig>

More information about the Warning mailing list