Samstag, 17. Juli 2010
Sicherheitswarnung! Lücke in Windows Shell in Zusammenhang mit Verknüpfungen ermöglicht Ausführen von Schadcode [4. Update]
Microsoft warnt im Security Advisory 2286198 (deutschsprachig) vor einer Sicherheitslücke in der Windows Shell aller aktuell von Microsoft unterstützter Windows-Versionen (darunter Windows XP SP3 und Windows 7, sowohl in den 32-bit als auch 64-bit Ausführungen), über die durch das Ausführen (Anzeigen des Symbols) einer entsprechend präparierten Verknüpfung (LNK-Datei oder PIF-Datei) Schadcode ausgeführt werden kann. Laut Advisory lässt sich die Lücke nach derzeitigem Kenntnisstand insbesondere über das aktivierte AutoPlay bzw. AutoRun für externe Laufwerke (z.B. USB-Sticks) und per WebDAV ausnutzen, [2. Update, 21.07.2010, 04:30] und (im Gegensatz zur ursprünglichen Aussage des Advisory) auch über den Besuch einer manipulierten Webseite und dem Versuch, eine entsprechend manipulierte Verknüpfung darzustellen. [/ 2. Update] Grundsätzlich genügt die Anzeige der manipulierten Verknüpfung mit dem Windows Explorer oder einer x-beliebigen anderen Anwendung, um Schadcode zur Ausführung zu bringen.
[4. Update, 02.08.2010, 16:35]
Wie angekündigt, wurde diese Sicherheitslücke durch das Sicherheitsupdate KB2286198 (MS10-046) u.a. für Windows XP und Windows 7 geschlossen, das Microsoft aufgrund der Schwere der Sicherheitslücke außerhalb des üblichen Patch-Day-Zyklusses veröffentlicht hat.
[/4. Update, 02.08.2010, 16:35]
[4. Update, 02.08.2010, 16:35]
Wie angekündigt, wurde diese Sicherheitslücke durch das Sicherheitsupdate KB2286198 (MS10-046) u.a. für Windows XP und Windows 7 geschlossen, das Microsoft aufgrund der Schwere der Sicherheitslücke außerhalb des üblichen Patch-Day-Zyklusses veröffentlicht hat.
[/4. Update, 02.08.2010, 16:35]
Microsoft analysiert nach eigenen Angaben derzeit das Problem, während die Sicherheitslücke bereits aktiv ausgenutzt wird (siehe z.B. heise online und "Malware Protection Center" von Microsoft). Diese Sicherheitslücke firmiert auch unter dem CVE-Namen CVE-2010-2568. [1. Update, 20.07.2010, 04:30] Zwischenzeitlich teilt Microsoft sowohl im Security Advisory, als auch über den Twitter-Account des MSRC mit, dass derzeit an einem Sicherheitsupdate zum Schließen der Lücke gearbeitet wird. Ein Veröffentlichungstermin steht zum derzeitigen Zeitpunkt noch nicht fest. [/ 1. Update]
[3. Update, 31.07.2010, 06:45] Nunmehr kündigt Microsoft die Veröffentlichung eines Sicherheitsupdates zum Schließen der Lücke für den 02. August 2010 (ca. 19 Uhr MESZ) an - aufgrund der Schwere der Sicherheitslücke also außerhalb des üblichen "Patch-Day"-Zyklus ("out-of-band"). [/ 3. Update, 31.07.2010, 06:45]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Microsoft empfiehlt im Advisory, das Anzeigen von Verknüpfungssymbolen durch das Löschen der Registry-Schlüssels HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler [2. Update, 21.07.2010, 04:30] und HKEY_CLASSES_ROOT\piffile\shellex\IconHandler [/ 2. Update] nachdem man diese zur Sicherheit deaktiviert hat. Aller Voraussicht nach wird dafür im (derzeit nicht verfügbaren) MSKB-Artikel KB2286198 eine halbautomatisch "Fix it"-Lösung zum De- und ggf. Reaktivieren der Symbole bereitgestellt werden. [2. Update, 21.07.2010, 04:30] Die "Fix it"-Lösungen zum halbautomatischen Deaktivieren bzw. Reaktivieren der Verknüpfungssymbole sind im o.g. MSKB-Artikel seit dem 21.07.2010 zu finden. Nach deren Anwendung, oder auch dem manuellen Löschen der Registry-Schlüssel, ist ein Neustart von Windows erforderlich. [/ 2. Update]
Desweiteren empfiehlt es sich, AutoPlay bzw. AutoRun für alle Laufwerke zu deaktivieren, um das potenziell mögliche automatische Ausführen von Schadcode durch den Anschluss eines externen Laufwerks zu verhindern. Zusätzlich empfiehlt Microsoft, den Dienst "WebClient" zu deaktivieren, wo dies möglich ist ([Windows-Taste]+[R] -> services.msc [Enter] -> Doppelklick auf "WebClient" -> Beenden / Starttyp: deaktiviert).
[3. Update, 31.07.2010, 06:45] Nunmehr kündigt Microsoft die Veröffentlichung eines Sicherheitsupdates zum Schließen der Lücke für den 02. August 2010 (ca. 19 Uhr MESZ) an - aufgrund der Schwere der Sicherheitslücke also außerhalb des üblichen "Patch-Day"-Zyklus ("out-of-band"). [/ 3. Update, 31.07.2010, 06:45]
Abhilfe bis zur Beseitigung der Sicherheitslücke:
Microsoft empfiehlt im Advisory, das Anzeigen von Verknüpfungssymbolen durch das Löschen der Registry-Schlüssels HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler [2. Update, 21.07.2010, 04:30] und HKEY_CLASSES_ROOT\piffile\shellex\IconHandler [/ 2. Update] nachdem man diese zur Sicherheit deaktiviert hat. Aller Voraussicht nach wird dafür im (derzeit nicht verfügbaren) MSKB-Artikel KB2286198 eine halbautomatisch "Fix it"-Lösung zum De- und ggf. Reaktivieren der Symbole bereitgestellt werden. [2. Update, 21.07.2010, 04:30] Die "Fix it"-Lösungen zum halbautomatischen Deaktivieren bzw. Reaktivieren der Verknüpfungssymbole sind im o.g. MSKB-Artikel seit dem 21.07.2010 zu finden. Nach deren Anwendung, oder auch dem manuellen Löschen der Registry-Schlüssel, ist ein Neustart von Windows erforderlich. [/ 2. Update]
Desweiteren empfiehlt es sich, AutoPlay bzw. AutoRun für alle Laufwerke zu deaktivieren, um das potenziell mögliche automatische Ausführen von Schadcode durch den Anschluss eines externen Laufwerks zu verhindern. Zusätzlich empfiehlt Microsoft, den Dienst "WebClient" zu deaktivieren, wo dies möglich ist ([Windows-Taste]+[R] -> services.msc [Enter] -> Doppelklick auf "WebClient" -> Beenden / Starttyp: deaktiviert).
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Wichtiges Sicherheitsupdate, das eine schwere Sicherheitslücke in der Shell von Windows 7 bei der Anzeige von Verknüpfungssymbolen (in LNK und PIF-Dateien) schließen soll, [...]
Aufgenommen: 02.08.2010 16:39
Kurzbeschreibung: Wichtiges Sicherheitsupdate, das eine schwere Sicherheitslücke in der Shell von Windows XP bei der Anzeige von Verknüpfungssymbolen (in LNK und PIF-Dateien) schließen soll, [...]
Aufgenommen: 02.08.2010 16:39