zurück zum Artikel

Die kritische LNK-Lücke in Windows ist nach wie vor ungepatcht und ruft zunehmend Kriminelle auf den Plan. Während Microsoft noch an einem Fix arbeitet, haben es die ersten Würmer auf alle Windows-Anwender abgesehen.

Die kritische LNK-Lücke [1] in Windows ist nach wie vor ungepatcht und ruft zunehmend Kriminelle auf den Plan: Inzwischen haben mindestens zwei weitere Schädlinge die Schwachstelle adoptiert. Die Dunkelziffer dürfte deutlich höher sein. Während der erste LNK-Trojaner Stuxnet noch nach dem Ergebnis professioneller Industriespionage aussieht, sind die neuen Würmer bei der Wahl ihrer Opfer nicht wählerisch.

Eset hat den Schädling Win32/TrojanDownloader.Chymine.A in freier Wildbahn entdeckt [2], der Kontakt mit einem US-Server aufnimmt und von dort den Keylogger Win32/Spy.Agent.NSO nachlädt. Außerdem soll nun auch der Wurm Win32/Autorun.VB.RP die LNK-Lücke als adäquaten Verbreitungsweg für sich entdeckt haben. Dabei wird der Schädling sogar selbst aktiv und produziert neue verseuchte LNK-Dateien zum Zwecke der raschen Fortpflanzung.

Dabei ist der volle Umfang des Problems noch längst nicht überschaubar. Klar ist, dass alle Windows-Versionen seit XP betroffen sind. In den letzten Tagen hat Microsoft außerdem die Information nachgeliefert, dass man auch in Office-Dokumente präparierte Verknüpfungen einbetten und zur Ausführung von Schadcode missbrauchen kann. Und nicht nur LNK-Dateien sind verwundbar: Laut dem aktualisiertem Advisory [3] geht von PIF-Dateien die gleiche Gefahr aus. Einen Weg, die Lücke auch via E-Mail auszunutzen, will Core Security gefunden [4] haben. Details nannte das Sicherheitsunternehmen jedoch nicht.

Auch das BSI warnt [5] mittlerweile vor der Bedrohung: Bis die Lücke gepatcht ist, solle man die im Microsoft Security Advisory beschriebenen Schritte umsetzen. In der Tat ist das Fix It [6] von Microsoft die einfachste Methode, einen Rechner schnell vor den drohenden Angriffen abzusichern. Allerdings muss man dabei Komforteinbußen [7] in Kauf nehmen, denn Windows zeigt danach alle Verknüpfungen nur noch mit einem einheitlichen Icon an.

Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt. Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen. (rei [8])

URL dieses Artikels:
https://www.heise.de/-1044228

Links in diesem Artikel:
[1] https://www.heise.de/news/Microsoft-bestaetigt-USB-Trojaner-Luecke-1039915.html
[2] http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go
[3] http://www.microsoft.com/technet/security/advisory/2286198.mspx
[4] http://www.screencast.com/users/Core_Security/folders/Default/media/a70a9e33-9f50-46df-a01e-4bffc07113b1
[5] http://www.buerger-cert.de/techwarnung.aspx?param=Zxo7YT%2f0pleBE8BWGbqLmw%253d%253d
[6] http://support.microsoft.com/kb/2286198#FixItForMe
[7] https://www.heise.de/news/LNK-Luecke-Microsoft-Fix-sorgt-fuer-Icon-Chaos-1042531.html
[8] mailto:rei@heise.de

Copyright © 2010 Heise Medien