Microsoft warnt vor LNK-Lücke in Windows
USB-Lücke: Spionage-Wurm nutzt neue Sicherheitslücke
Microsoft hat eine Sicherheitsmitteilung veröffentlicht, in der es Berichte über eine neu entdeckte Sicherheitslücke in Windows bestätigt. Ein vom weißrussischen Antivirushersteller VirusBlokada [1] entdeckter Schädling nutzt einen Fehler bei Behandlung von Dateisymbolen, um von infizierten USB-Sticks aus Rechner zu verseuchen.
Wie Microsoft in der Sicherheitsmitteilung 2286198 angibt, steckt der Fehler in der Windows Shell, also in einer Komponente des Windows Explorer. Betroffen sind alle Windows-Versionen. Die Schwachstelle kann mit Hilfe speziell präparierter Verknüpfungsdateien (.LNK) ausgenutzt werden, um ohne Benutzereingriff Programme zu starten. Während der als "Stuxnet" bekannte Schädling USB-Sticks infiziert, um sich zu verbreiten, könnte ein Angreifer die Lücke auch über Netzwerkfreigaben (SMB) oder WebDAV ausnutzen.
Sobald ein mit Stuxnet infizierter USB-Sticks angeschlossen wird und ein Explorer-Fenster dessen Inhaltsverzeichnis anzeigt, installiert die Stuxnet-Malware ein Rootkit, um die schädlichen Dateien zu tarnen. Der Anwender bekommt diese Dateien auf dem USB-Stick nicht mehr zu sehen, ebenso wenig die Rootkit-Treiber, die mit einem Zertifikat des Chip-Herstellers Realtek signiert sind. Dessen Aussteller Verisign hat das inzwischen ohnehin abgelaufene Zertifikat mittlerweile für ungültig erklärt.
Stuxnet zielt offenbar auf Rechner mit der Siemens-Software Step7, die zur Steuerung von Industrieanlagen dient. Das weist eher auf Wirtschaftsspionage als auf übliche Malware hin. Inzwischen ist jedoch auch Beispiel-Code für die Ausnutzung dieser Sicherheitslücke veröffentlicht worden. Somit ist zu erwarten, dass bald andere, mehr auf die breite Masse zielende Malware auf diesem Wege verbreitet wird.
Microsoft empfiehlt in seiner Sicherheitsmitteilung einen Registry-Eingriff, der das Auslesen der Dateisymbole von LNK-Dateien abschaltet. Außerdem sollten der WebClient-Dienst deaktiviert und SMB-Zugriffe ins Internet von der Firewall blockiert werden, um diese Infektionswege zu sperren.
Quelle: magnus.de
USB-Lücke: Spionage-Wurm nutzt neue Sicherheitslücke
Microsoft hat eine Sicherheitsmitteilung veröffentlicht, in der es Berichte über eine neu entdeckte Sicherheitslücke in Windows bestätigt. Ein vom weißrussischen Antivirushersteller VirusBlokada [1] entdeckter Schädling nutzt einen Fehler bei Behandlung von Dateisymbolen, um von infizierten USB-Sticks aus Rechner zu verseuchen.
Wie Microsoft in der Sicherheitsmitteilung 2286198 angibt, steckt der Fehler in der Windows Shell, also in einer Komponente des Windows Explorer. Betroffen sind alle Windows-Versionen. Die Schwachstelle kann mit Hilfe speziell präparierter Verknüpfungsdateien (.LNK) ausgenutzt werden, um ohne Benutzereingriff Programme zu starten. Während der als "Stuxnet" bekannte Schädling USB-Sticks infiziert, um sich zu verbreiten, könnte ein Angreifer die Lücke auch über Netzwerkfreigaben (SMB) oder WebDAV ausnutzen.
Sobald ein mit Stuxnet infizierter USB-Sticks angeschlossen wird und ein Explorer-Fenster dessen Inhaltsverzeichnis anzeigt, installiert die Stuxnet-Malware ein Rootkit, um die schädlichen Dateien zu tarnen. Der Anwender bekommt diese Dateien auf dem USB-Stick nicht mehr zu sehen, ebenso wenig die Rootkit-Treiber, die mit einem Zertifikat des Chip-Herstellers Realtek signiert sind. Dessen Aussteller Verisign hat das inzwischen ohnehin abgelaufene Zertifikat mittlerweile für ungültig erklärt.
Stuxnet zielt offenbar auf Rechner mit der Siemens-Software Step7, die zur Steuerung von Industrieanlagen dient. Das weist eher auf Wirtschaftsspionage als auf übliche Malware hin. Inzwischen ist jedoch auch Beispiel-Code für die Ausnutzung dieser Sicherheitslücke veröffentlicht worden. Somit ist zu erwarten, dass bald andere, mehr auf die breite Masse zielende Malware auf diesem Wege verbreitet wird.
Microsoft empfiehlt in seiner Sicherheitsmitteilung einen Registry-Eingriff, der das Auslesen der Dateisymbole von LNK-Dateien abschaltet. Außerdem sollten der WebClient-Dienst deaktiviert und SMB-Zugriffe ins Internet von der Firewall blockiert werden, um diese Infektionswege zu sperren.
Quelle: magnus.de