Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Schwachstellen der neuen SP2-Sicherheitsfunktionen

Seite 2: Caching von ZoneIDs durch Windows Explorer

Inhaltsverzeichnis

2. Caching von ZoneIDs durch Windows Explorer

Der Windows Explorer speichert die Ergebnisse von ZoneID-Tests. Wird eine Datei überschrieben, aktualisiert der Explorer die Informationen in seinem Cache nicht korrekt. Der Explorer startet dann eine Datei unter Umständen mit den veralteten ZoneID-Einträgen der ehemaligen Datei gleichen Namens.

Folgende Schritte illustrieren das Problem:

  1. Kopieren von Notepad:
    > copy c:\windows\notepad.exe test.exe
    Anmerkung: Das Kopieren kann auch mit dem Explorer erfolgen.
  2. Start von test.exe im Explorer: keine Warnung.
  3. evil.exe ist eine Datei aus einem E-Mail-Attachment mit ZoneID=3.
    Test: mit Editor "evil.exe:Zone.Identifier" öffnen. Dort steht: ZoneID=3
    Start von evil.exe im Explorer: eine Warnung erscheint.
  4. Überschreiben der Notepad-Kopie:
    > copy evil.exe test.exe
    "test.exe:Zone.Identifier" zeigt: ZoneID=3
  5. Start von test.exe in Explorer: keine Warnung!
    Der Explorer startet test.exe trotz ZoneID=3 ohne Warnung. In den Dateieigenschaften zeigt er jedoch den richtigen Sicherheitshinweis.
  6. Gegenprobe: Beenden der Explorer Task, Explorer neu starten und test.exe öffnen: die korrekte Warnung erscheint.

Um dieses Problem auszunutzen, muss ein Angreifer eine existierende Datei ohne ZoneID überschreiben. Derzeit ist uns kein Weg bekannt, dies via E-Mail oder von Web-Seiten aus zu bewerkstelligen.

heise Security hat Microsoft am 12.8. über diese Probleme informiert. Das Microsoft Security Response Center antwortete:

"Wir haben Ihren Bericht untersucht, wie wir das mit allen Berichten tun. In diesem Fall sehen wir jedoch keinen Konflikt mit den Designzielen der neuen Schutzfunktionen. Wir versuchen ständig, unsere Sicherheitsvorkehrungen zu verbessern und diese Diskussion wird sicher zusätzliche Anregungen für zukünftige Verbesserungen geben. Doch betrachten wir dies derzeit nicht als Angelegenheit, für die wir Patches oder Workarounds entwickeln würden."

Eine persönliche Einschätzung dieser Antwort gibt der aktuelle Kommentar auf heise Security: Microsoft und die Vertrauensfrage (ju)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten