|
Seit dem 16. Juli gibt es eine Security Adisory (2286198) von Microsoft bezüglich einer Schwachstelle in Windows Systemen von XP bis 7. Dies betrifft alle Versionen inklusive der Server- Derivate. Die Schwachstelle findet sich in Form eines Fehlers beim Laden von Verknüpfungs-Icons. Es ist möglich Schadcode auszuführen, wenn ein präpariertes LNK- oder PIF-File geladen wird. |
Dies geschieht nicht nur beim Öffnen einer solchen Datei. Es genügt bereits, dass die Datei im Windows Explorer oder einem anderen Dateibrowser mit grafischer Darstellung (z.B. Total Commander) angezeigt wird. Die Quelle der Datei ist dafür unerheblich. Es kann sowohl von einem USB-Stick oder einer CD-ROM, als auch über ein Netzlaufwerk geschehen. Die Angriffsfläche ist demnach extrem groß.
Weiterhin sind die Auswirkungen absolut fatal. Durch die Sicherheitslücke kann Schadcode in Form von Rootkits eingeschleust werden. Diese wären dem Benutzer gegenüber unsichtbar und auch vor Anti-Virus-Software gefeit. Hat der Nutzer des infizierten Systems dazu noch Administratorrechte steht dem Angreifer ein ganzes System zur Verfügung.
Einen Fix gibt es derzeit von Microsoft noch nicht. Es gibt einen recht unschönen Workaround, der darauf basiert, das Laden von Icons bei LNK- und PIF-Dateien zu unterbinden.
Das führt dazu, dass Startmenü und Desktop unübersichtlich werden können. Dennoch ist dies der einzige Weg, sein System vor der Schwachstelle zu schützen.
Gemäß der Security Advisory gibt es zwei Registry-Keys, deren Werte zu löschen sind. Dies betrifft
[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler] und
[HKEY_CLASSES_ROOT\piffile\shellex\IconHandler].
Wer nicht eigenhändig in der Registry arbeiten möchte, kann sich vorgefertigte MSIs von Microsoft herunterladen.
Es gibt jeweils eine, um die Werte der betroffenen Registry-Keys zu löschen und wiederherzustellen. Anschließend ist der Explorer neu zu starten oder das System einmal neu zu booten.
So lange es keinen Patch von Microsoft gibt, ist diese Maßnahme zu ergreifen, um sich zu schützen! Das Internet Storm Center hat zwischenzeitlich den Gefahrenlevel der Lücke auf "gelb" erhöht, um auf die Ernsthaftigkeit der Lage hinzuweisen. Bis zu einer größeren Angriffswelle ist es vermutlich nur eine Frage der Zeit.
Quellen:
Microsoft Security Advisory (2286198)
Microsoft Support Fix
ISC Threat Alert Level
Thomas Bahn, Diplom-Mathematiker, IT-Spezialist & Speaker auf Fachkonferenzen
Thomas Bahn ist Mitgründer und Geschäftsführer der assono GmbH. Seit mehr als 20 Jahren berät er erfolgreich Unternehmen aus ganz Deutschland rund um das Thema Software und Digitalisierung. Insbesondere in den Bereichen HCL Notes und Domino (ehemals IBM) als auch bei aktuellen, unternehmensrelevanten KI-Themen wie Chatbots kennt er die neusten Entwicklungen und weiß, wie diese sich gewinnbringend für Unternehmen einsetzen lassen. Aufgrund seines Expertenwissens ist Thomas Bahn regelmäßiger Sprecher auf nationalen und internationalen Fachkonferenzen.
Sie haben Fragen zu diesem Artikel? Kontaktieren Sie uns gerne: blog@assono.de