In unserem Podcast diskutiert Thomas Bahn über Nutzen, Anwendungen und Erfahrungen aus den Bereichen Chatbots und Künstliche Intelligenz. Mehr erfahren

de · en

Kritische Windows-LNK-Lücke

von Thomas,
assono GmbH, Standort Kiel,


Seit dem 16. Juli gibt es eine Security Adisory (2286198) von Microsoft bezüglich einer Schwachstelle in Windows Systemen von XP bis 7. Dies betrifft alle Versionen inklusive der Server- Derivate. Die Schwachstelle findet sich in Form eines Fehlers beim Laden von Verknüpfungs-Icons. Es ist möglich Schadcode auszuführen, wenn ein präpariertes LNK- oder PIF-File geladen wird.

Dies geschieht nicht nur beim Öffnen einer solchen Datei. Es genügt bereits, dass die Datei im Windows Explorer oder einem anderen Dateibrowser mit grafischer Darstellung (z.B. Total Commander) angezeigt wird. Die Quelle der Datei ist dafür unerheblich. Es kann sowohl von einem USB-Stick oder einer CD-ROM, als auch über ein Netzlaufwerk geschehen. Die Angriffsfläche ist demnach extrem groß.


Weiterhin sind die Auswirkungen absolut fatal. Durch die Sicherheitslücke kann Schadcode in Form von Rootkits eingeschleust werden. Diese wären dem Benutzer gegenüber unsichtbar und auch vor Anti-Virus-Software gefeit. Hat der Nutzer des infizierten Systems dazu noch Administratorrechte steht dem Angreifer ein ganzes System zur Verfügung.

Einen Fix gibt es derzeit von Microsoft noch nicht. Es gibt einen recht unschönen Workaround, der darauf basiert, das Laden von Icons bei LNK- und PIF-Dateien zu unterbinden.
Das führt dazu, dass Startmenü und Desktop unübersichtlich werden können. Dennoch ist dies der einzige Weg, sein System vor der Schwachstelle zu schützen.

Gemäß der Security Advisory gibt es zwei Registry-Keys, deren Werte zu löschen sind. Dies betrifft
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler] und
[HKEY_CLASSES_ROOT\piffile\shellex\IconHandler].

Wer nicht eigenhändig in der Registry arbeiten möchte, kann sich vorgefertigte MSIs von Microsoft herunterladen.
Es gibt jeweils eine, um die Werte der betroffenen Registry-Keys zu löschen und wiederherzustellen. Anschließend ist der Explorer neu zu starten oder das System einmal neu zu booten.

So lange es keinen Patch von Microsoft gibt, ist diese Maßnahme zu ergreifen, um sich zu schützen! Das Internet Storm Center hat zwischenzeitlich den Gefahrenlevel der Lücke auf "gelb" erhöht, um auf die Ernsthaftigkeit der Lage hinzuweisen. Bis zu einer größeren Angriffswelle ist es vermutlich nur eine Frage der Zeit.


Quellen:
Microsoft Security Advisory (2286198)
Microsoft Support Fix
ISC Threat Alert Level

Fachbeitrag Administration

Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de

Sie haben Interesse an diesem Thema?

Gerne bieten wir Ihnen eine individuelle Beratung oder einen Workshop an.

Kontaktieren Sie uns

Weitere interessante Artikel

Sie haben Fragen?

Wenn Sie mehr über unsere Angebote erfahren möchten, können Sie uns jederzeit kontaktieren. Gerne erstellen wir eine individuelle Demo für Sie.

assono GmbH

Standort Kiel (Zentrale)
assono GmbH
Lise-Meitner-Straße 1–7
24223 Schwentinental

Standort Hamburg
assono GmbH
Bornkampsweg 58
22761 Hamburg

Telefonnummern:
Zentrale: +49 4307 900 416
Vertrieb: +49 4307 900 402

E-Mail-Adressen:
kontakt@assono.de
bewerbung@assono.de