[Warning] Kritische Sicherheitslücke im Microsoft Windows Hilfe- und Supportcenter
Robert Waldner
waldner at cert.at
Thu Jun 10 13:19:03 CEST 2010
10. Juni 2010
Remote Code Execution - CERT.at ersucht um Beachtung der folgenden
Meldung.
Beschreibung
Wie Heise Security berichtet[1], gibt es aktuell ein Problem mit dem
Microsoft Windows Hilfe- und Supportcenter, speziell mit der
Funktion des Nachladens von Hilfedokumenten aus dem Internet per
hcp://-URLs.
Dieses Problem kann dazu benutzt werden kann, durch Betrachten einer
entsprechend präparierten Webseite beliebigen Code mit den Rechten
des Benutzers auszuführen.
Ein Patch seitens Microsoft steht noch nicht zur Verfügung.
Auswirkungen
Da der Angreifer prinzipiell beliebigen Code auf betroffenen Systemen
ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell
alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten,
VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.
Es ist zu erwarten, dass diese Schwachstelle schon bald in großem
Stil ausgenützt wird.
Betroffene Systeme
Alle Systeme, auf denen das Microsoft Hilfe- und Supportcenter
installiert ist. Dies werden vermutlich alle Systeme von Windows
XP/Server 2003 aufwärts sein, wir können nicht ausschliessen, dass
dies auch ältere Windows-Versionen (etwa Windows 2000) betrifft.
Der Beispiel-Exploit funktioniert derzeit auf einem vollständig
gepatchten System mit
* Microsoft Windows XP SP3, Internet Explorer 8, Media Player 9
Der Author des Beispiel-Exploits gibt jedoch an[2], dass eine
Portierung auf andere Konstellationen trivial sein sollte.
Abhilfe
Bis ein Patch seitens Microsoft zur Verfügung steht, kann das
Nachladen von Hilfe-Dokumenten durch Entfernen des Registry-Keys
"HKEY_CLASSES_ROOT/HCP/shell/open" deaktiviert werden.
Sollte eine Organisation auf diese Funktionalität angewiesen sein,
stellt der Author auch dafür einen Hotfix bereit, den wir jedoch
nicht getestet haben und daher keine Aussage darüber machen können.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
1. Meldung bei Heise Security
http://www.heise.de/security/meldung/Windows-Hilfe-als-Einfallstor-fuer-Angreifer-1018965.html
2. Originales Advisory von Tavis Ormandy (englisch)
http://lock.cmpxchg8b.com/b10a58b75029f79b5f93f4add3ddf992/ADVISORY
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 197 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20100610/06d6f329/attachment.sig>
More information about the Warning
mailing list