Kriminelle nutzen Lücke im Windows-Hilfecenter aus
Erste Webseiten versuchen, die Windows-Systeme von Besuchern mit Malware zu infizieren. Bislang funktioniert das jedoch nur bei Windows XP. Microsoft empfiehlt, die Lücke mit einem Fix-it-Tool temporär zu schließen.
- Daniel Bachfeld
Nach Angaben von Microsoft und dem Antivirenhersteller Sophos nutzen erste Webseiten die vergangene Woche gemeldete Lücke im Hilfe- und Supportcenter von Windows aus, um die Systeme von Besuchern mit Schadcode zu infizieren. Bislang sind jedoch nur Anwender von Windows XP betroffen, da der kursierende Exploit nur dort funktioniert. Zudem muss der Anwender die manipulierte Seite mit dem Internet Explorer besuchen. Zwar ist grundsätzlich auch Windows Server 2003 betroffen, dort läuft der Exploit jedoch (noch) nicht. Windows 7, Vista , 2000 und Server 2008 sind nicht verwundbar.
Microsoft arbeitet noch an einem Patch und empfiehlt bis dahin, mit einem Fix-it-Tool die Lücke temporär zu schließen. Das Tool deregistriert das hcp://Protokoll unter Windows, sodass der Aufruf von Hilfedokumenten nicht mehr funktioniert. Ursache des Problems ist nämlich die fehlerhafte Implementierung der Whitelist-Funktion, mit der das Supportcenter prüft, ob ein Hilfedokument aus einer erlaubten, vertrauenswürdigen Quelle stammt.
Doch das Supportcenter kann nicht nur Hilfedokumente aus dem Netz nachladen (über den URL-Handler hcp://), es kann auch lokale Anwendungen starten, beispielsweise die Remote-Unterstützung und dergleichen. Damit ist es möglich, Programme auf dem PC auszuführen. Mit manipulierten hcp-URLs kann ein Angreifer jedoch beispielsweise den FTP-Client starten, um einen Trojaner aus dem Netz zu laden und ihn anschließend zu starten.
Die Lücke hatte in der vergangenen Woche insbesondere wegen der Umstände der Veröffentlichung für Wirbel gesorgt. Der Entdecker Tavis Ormandy hatte die Infos nebst PoC-Exploit veröffentlicht, ohne Microsoft ausreichend Zeit für eine Reaktion einzuräumen. Zwar hatte er einen eigenen Hotfix zur Verfügung gestellt, der schloss die Lücke jedoch nicht vollständig.
Da Ormandy für Google arbeitet, fragten sich Sicherheitsspezialisten, ob Google zwei unterschiedliche Standards bei Full Disclosure verwende – denn Google selbst ist ein Verfechter der Responsible Disclosure. Allerdings wies Ormandy darauf hin, dass er in diesem Fall auf eigene Rechnung gearbeitet hatte und Google damit nichts zu tun habe.
Siehe dazu auch:
(dab)
