Microsoft bestätigt USB-Trojaner-Lücke
In einer Sicherheitsnotiz warnt das Microsoft Security Response Center vor einer Lücke bei der Anzeige von LNK-Dateien, die bereits ausgenutzt wurde, um Systeme auszuspionieren. Einen Patch dagegen gibt es noch nicht.
In einer Sicherheitsnotiz bestätigt Microsoft eine Sicherheitslücke bei der Anzeige von LNK-Dateien. Diese kann unter anderem ausgenutzt werden, um Windows-Systeme schon beim Öffnen eines USB-Sticks zu infizieren. Bereits vor einigen Tagen wurde bekannt, dass ein Wurm diese Lücke offenbar für Spionage-Aktivitäten ausgenutzt hat.
Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe.
Einen Patch, der die Lücke schließt, gibt es derzeit noch nicht. Microsoft lässt sich auch nicht über einen möglichen Veröffentlichungstermin aus. Somit ist man derzeit auf Workarounds angewiesen, um sich zu schützen. Das Microsoft-Sicherheitsteam empfiehlt, die Anzeige von Icons für LNK-Dateien durch eine Änderung am Registrywert HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler abzuschalten. Allerdings sollte man zuvor ein Backup der bisherigen Einstellung anlegen. Darüber hinaus könne man den Web-Client-Dienst abschalten, um Angriffe via WebDAV zu verhindern.
Die bislang bekannt gewordenen Angriffe sind hochprofessionell gemacht; sie enthalten unter anderem ein Rootkit, das sich als digital signierter Realtek-Treiber im System einnistet, und spionieren anscheinend Prozessleitsysteme aus (SCADA, Supervisory Control and Data Acquisition). Sicherheitsexperten spekulieren, dass es sich um einen gezielten Spionage-Angriff etwa durch Geheimdienste handelt.
Das Gute daran ist, dass die Angriffe offenbar recht gezielt durchgeführt wurden und die Schadsoftware somit keine allzu große Verbreitung gefunden hat. Es ist allerdings damit zu rechnen, dass nachdem das Problem nun bekannt ist, andere auf den Zug aufspringen und die Lücke in großem Stil ausnutzen, um Bot-Netz-Clients und Spionage-Software zu verbreiten. Das bedeutet, dass man seine Windows-Systeme umgehend absichern sollte. Es ist zu hoffen, dass Microsoft möglichst bald einen Quickfix bereitstellt. (ju)
