Neue Windows-Lücke schlägt weitere Wellen

[Dynamite]

Die am gestrigen Donnerstag gemeldete Sicherheitslücke in Windows bei der Verarbeitung von lnk-Dateien schlägt Wellen, weil der damit in Zusammenhang stehende Trojaner eine Vielzahl weitere Fragen aufwirft. Bislang hat sich der Trojaner laut Kaspersky offenbar nur im Iran, Indien und Indonesien nennenswert verbreitet, wobei in jedem Land zirka 5000 Rechner-Infektionen registriert wurden. 150 Infektionen hat Kaspersky in Russland und nur 5 in China gezählt.

Warum die Verbreitung des speziell zum Ausspähen von Prozessleittechniksystemen des Herstellers Siemens programmierten Schädlings so regional begrenzt ist, ist nicht bekannt. Auch ist unklar, wie Teile des für Industriespionage eingesetzten Trojaners in den Besitz einer gültigen (aber mittlerweile abgelaufenen) digitalen Signatur des Herstellers Realtek kam. Anfragen von heise Security an Realtek und an den Zertifikatsaussteller VeriSign blieben bislang unbeantwortet.

Es gibt aber bereits Spekulationen, dass ein ausgelagerter Softwarehersteller, der für Realteks Hardware die Treiber programmiert, die Software im Herstellungsprozess fälschlicherweise signierte oder ein dortiger Entwickler bestochen wurde. Da gerade Indien für viele internationale Unternehmen die Softwareentwicklung übernommen hat, könnte die regionale Verbreitung des Trojaners diese These stützen.

Auch wird in diversen Foren darüber diskutiert, ob das SCADA-Visualisierungssystem WinCC von Siemens möglicherweise standardmäßige Zugangsdaten für die zugrunde liegende MS-SQL-Datenbank verwendet. Auslöser der Vermutung war eine Analyse des Malware-Spezialisten Frank Boldewin, der Teile der vom Trojaner getätigten Datenbankabfrage veröffentlicht hat. Darin steckten auch die Variablen UID=WinCCConnect und PWD. Nach Angaben des Antivirenherstellers F-Secure sollen WinCC-Anwender angehalten sein, diese Daten nicht zu ändern. Dies würde bedeuten, dass möglicherweise weltweit zahlreiche Systeme dieselben Zugangsdaten zur Datenbank aufweisen. Eine Antwort von Siemens auf eine Anfrage von heise Security steht noch aus.

Microsoft hat die lnk-Lücke bislang noch nicht offiziell bestätigt. Derzeit gibt es weder einen Patch noch einen funktionierenden Workaround. Das US-CERT schlägt immerhin vor, mit dem Abschalten von Autorun die notwendigen Schritte einer Interaktion des Anwenders nach dem Anschließen eines präparierten USB-Sticks zu erhöhen. Nach dem Abschalten fragt Windows dann noch, ob es das Verzeichnis des Sticks öffnen soll. Mittlerweile erkennen aber auch zahlreiche Antivirenprogramme die Trojanerkomponenten als Win32/Stuxnet. (dab)

Quelle: Heise.de

[Dynamite]

Microsoft bestätigt USB-Trojaner-Lücke

In einer Sicherheitsnotiz bestätigt Microsoft eine Sicherheitslücke bei der Anzeige von LNK-Dateien. Diese kann unter anderem ausgenutzt werden, um Windows-Systeme schon beim Öffnen eines USB-Sticks zu infizieren. Bereits vor einigen Tagen wurde bekannt, dass ein Wurm diese Lücke offenbar für Spionage-Aktivitäten ausgenutzt hat.

Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe.

Einen Patch, der die Lücke schließt, gibt es derzeit noch nicht. Microsoft lässt sich auch nicht über einen möglichen Veröffentlichungstermin aus. Somit ist man derzeit auf Workarounds angewiesen, um sich zu schützen. Das Microsoft-Sicherheitsteam empfiehlt, die Anzeige von Icons für LNK-Dateien durch eine Änderung am Registrywert HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler abzuschalten. Allerdings sollte man zuvor ein Backup der bisherigen Einstellung anlegen. Darüber hinaus könne man den Web-Client-Dienst abschalten, um Angriffe via WebDAV zu verhindern.

Die bislang bekannt gewordenen Angriffe sind hochprofessionell gemacht; sie enthalten unter anderem ein Rootkit, das sich als digital signierter Realtek-Treiber im System einnistet, und spionieren anscheinend Prozessleitsysteme aus (SCADA, Supervisory Control and Data Acquisition). Sicherheitsexperten spekulieren, dass es sich um einen gezielten Spionage-Angriff etwa durch Geheimdienste handelt.

Das Gute daran ist, dass die Angriffe offenbar recht gezielt durchgeführt wurden und die Schadsoftware somit keine allzu große Verbreitung gefunden hat. Es ist allerdings damit zu rechnen, dass nachdem das Problem nun bekannt ist, andere auf den Zug aufspringen und die Lücke in großem Stil ausnutzen, um Bot-Netz-Clients und Spionage-Software zu verbreiten. Das bedeutet, dass man seine Windows-Systeme umgehend absichern sollte. Es ist zu hoffen, dass Microsoft möglichst bald einen Quickfix bereitstellt. (ju)

Quelle: Heise.de

[Dynamite]

LNK-Lücke in Windows: Angriffswelle rollt an

Die kritische LNK-Lücke in Windows ist nach wie vor ungepatcht und ruft zunehmend Kriminelle auf den Plan: Inzwischen haben mindestens zwei weitere Schädlinge die Schwachstelle adoptiert. Die Dunkelziffer dürfte deutlich höher sein. Während der erste LNK-Trojaner Stuxnet noch nach dem Ergebnis professioneller Industriespionage aussieht, sind die neuen Würmer bei der Wahl ihrer Opfer nicht wählerisch.

Eset hat den Schädling Win32/TrojanDownloader.Chymine.A in freier Wildbahn entdeckt, der Kontakt mit einem US-Server aufnimmt und von dort den Keylogger Win32/Spy.Agent.NSO nachlädt. Außerdem soll nun auch der Wurm Win32/Autorun.VB.RP die LNK-Lücke als adäquaten Verbreitungsweg für sich entdeckt haben. Dabei wird der Schädling sogar selbst aktiv und produziert neue verseuchte LNK-Dateien zum Zwecke der raschen Fortpflanzung.

Dabei ist der volle Umfang des Problems noch längst nicht überschaubar. Klar ist, dass alle Windows-Versionen seit XP betroffen sind. In den letzten Tagen hat Microsoft außerdem die Information nachgeliefert, dass man auch in Office-Dokumente präparierte Verknüpfungen einbetten und zur Ausführung von Schadcode missbrauchen kann. Und nicht nur LNK-Dateien sind verwundbar: Laut dem aktualisiertem Advisory geht von PIF-Dateien die gleiche Gefahr aus. Einen Weg, die Lücke auch via E-Mail auszunutzen, will Core Security gefunden haben. Details nannte das Sicherheitsunternehmen jedoch nicht.

Auch das BSI warnt mittlerweile vor der Bedrohung: Bis die Lücke gepatcht ist, solle man die im Microsoft Security Advisory beschriebenen Schritte umsetzen. In der Tat ist das Fix It von Microsoft die einfachste Methode, einen Rechner schnell vor den drohenden Angriffen abzusichern. Allerdings muss man dabei Komforteinbußen in Kauf nehmen, denn Windows zeigt danach alle Verknüpfungen nur noch mit einem einheitlichen Icon an.


Seite 48 der offiziellen Dokumentation des LNK-Formats. Vergrößern
Bild: heise Security

Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt. Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen. (rei)

Quelle: Heise.de

[Dynamite]

Antiviren-Hersteller bieten kostenlosen LNK-Schutz

Angesichts sich ausbreitender LNK-Schädlinge ist es allerhöchste Zeit sich zu schützen. Mit G Data und Sophos springen gleich zwei AV-Hersteller in die Lücke, die der ausbleibende Patch von Microsoft hinterlässt.


Das G-Data-Tool ersetzt das Icon gefährlicher LNK-Dateien. Vergrößern Microsoft empfiehlt bisher als Schutz ein so genanntes Fix-it, das die Anzeige aller Link-Icons abschaltet. Damit wird die Arbeitsumgebung aber an einigen Stellen reichlich unübersichtlich. Deshalb gehen die Tools der Antiviren-Hersteller selektiver zu Werke. Sie installieren einen eigenen Icon-Handler für LNK-Dateien, der die Anzeige nur bei gefährlichen Links blockiert.

Beim G Data LNK-Checker funktionierte dies in unseren Kurztests zuverlässig. Bei allen getesteten Demo-Exploits erschien ein Einfahrt-Verboten-Schild als Icon, während die normalen Verweise auch ganz normal funktionierten. Allerdings ist es auch weiterhin möglich, bösartige LNK-Dateien anzuklicken und den Schädling damit manuell zu starten. Das muss dann ein Virenwächter blockieren.

[Update: Wie sich herausgestellt hat, erkennt der G Data LNK-Checker alle Links auf die Systemsteuerung als Gefahr. Man kann dies einfach überprüfen, indem man den Eintrag aus dem Start-Menü auf den Desktop zieht. G Data versieht den Link dann fälschlicherweise mit dem Verbots-Icon.]

Das Shortcut Exploit Protection Tool von Sophos versucht ebenfalls, bösartige LNK-Dateien abzufangen und präsentiert statt dem Icon ein Warnfenster mit dem Text:

Potential exploit found in shortcut [name.lnk].
Prevented launching file [name.lnk]


Das Sophos-Tool schützt nicht in allen Fällen. Hier startet eine LNK-Datei auf einem USB-Stick ein Programm. Vergrößern Allerdings schützt dieses Tool nur begrenzt. So springt es laut Dokumentation grundsätzlich nicht auf Dateien an, die sich auf lokalen Festplatten befinden. Dies erlaubt es weiterhin, sich etwa durch das Auspacken eines ZIP-Archivs zu infizieren. Außerdem konnte im Kurztest ein Demo-LNK-Exploit auf einem USB-Stick weiterhin Programme auf der lokalen Festplatte starten, was ebenfalls ein unnötiges Risiko darstellt. Graham Cluley von Sophos bestätigte dieses Verhalten auf Nachfragen als konzeptbedingt.

Beide Tools arbeiten unabhängig von der installierten AV-Software. Sie ließen sich im Rahmen des Kurztests reibungslos installieren und durch einen zweiten Aufruf des Installers auch wieder entfernen. Wie auch das Fix-it von Microsoft haben jedoch beide Tools ihre Nachteile.

Dass man sich schützen sollte, machen auch die langsam bekannt werdenden Fälle mit konkreten Infektionen deutlich. So bestätigte die Pressesprecherin Helen Däuwel der Daimler AG gegenüber heise Security Berichte über Viren-Probleme im Firmennetz des Autobauers. Die Ausbreitung eines Virus namens W32.Changeup führte letzte Woche zur Abschaltung mehrerer File-Server. In wenigen Fällen – Däuwel sprach von weniger als 1 Prozent – sei dabei auch die Variante W32.Changeup.C gesichtet worden, die unter anderem die LNK-Lücke ausnutzt. Wie der Wurm ins Netz kam, wollte die Sprecherin nicht kommentieren, die Situation sei aber mittlerweile wieder unter Kontrolle. (ju)

Quelle: Heise.de

[Dynamite]

Microsoft will LNK-Lücke Montag schließen

Microsoft kündigt für Montag ein außerplanmäßiges Update für die LNK-Lücke an. Durch einen Fehler in Windows können LNK- und PIF-Dateien beliebige Programme starten. Dazu genügt es, dass der Anwender den Ordner öffnet, der den Link enthält – also etwa einen infizierten USB-Stick oder eine Netzwerkfreigabe. Dies wurde in den letzten Tagen vermehrt ausgenutzt, um Systeme mit Schadsoftware zu infizieren.

Das bisher verfügbare Fix-it von Microsoft verhindert die Anzeige von Icons für diese Link-Dateien komplett und machte damit den Desktop in vielen Fällen recht unübersichtlich. Die von Antiviren-Herstellern bereitgestellten Tools kämpfen ebenfalls mit Problemen. Das Microsoft-Update soll Montag Abend gegen 19:00 Uhr nach deutscher Zeit erscheinen und wird danach über die automatische Update-Funktion von Windows verteilt. (ju)

Quelle: Heise.de

[Dynamite]

Notfall-Patch schließt LNK-Lücke in Windows

Microsoft hat wie angekündigt das außerplanmäßige Update MS10-046 für die LNK-Lücke in Windows bereitgestellt. Der Softwarehersteller behebt damit einen Fehler in der Windows Shell bei der Auswertung von Parametern von LNK- und PIF-Dateien. Die Lücke lässt sich ausnutzen, um beim Anzeigen der Icons beliebige Programme zu starten. Dazu genügt es, dass ein Anwender einen Ordner mit präparierten Dateien öffnet, beispielsweise auf einem infizierten USB-Stick, einer Netzwerkfreigabe oder einem WebDAV-Ordner.

Betroffen sind alle von Microsoft unterstützten Betriebssysteme von Windows XP (SP3) bis Windows 7 und Server 2008 R2. Anwender, die bereits das Fix-it-Tool als temporäre Lösung verwendet haben, müssen den Vorgang nach der Installation des Updates rückgängig machen, um die Icons der Verknüpfungen wieder sehen zu können.

Kriminelle haben bereits Schädlinge in Umlauf gebracht, die die Lücke zur Infektion von PCs ausnutzen. Unter anderem verbreitete sich ein Trojaner über die LNK-Lücke auch im Netz der Daimler AG. (dab)

Quelle: Heise.de