- Offizieller Beitrag
Erst war es nur ein Proof-of-Concept, dann warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) und jetzt ist der Ernstfall eingetreten: Immer mehr Schädlinge nutzen eine bislang ungepatchte Sicherheitslücke in Windows aus. Wir sagen Ihnen, wie Sie sich schützen können.
Nur wenige Tage nachdem Microsoft eine Patch-Sammlung für Windows veröffentlichte, tauchte bereits die nächste kritische Systemlücke auf: Ein neuer Trojaner kann per USB-Stick eingeschleust werden. Dazu genügt es im Ernstfall, das Medium mit der schädlichen Datei im Windows-Explorer zu öffnen. Betroffen von dem Fehler sind alle Betriebssysteme von Windows XP bis einschließlich Windows 7 sowie die Windows-Serverfamilie. Selbst wenn der Zielrechner mit allen aktuellen Patches versorgt ist, kann der Virus eindringen.
Hackern wird die Installation des Trojaners durch eine Schwachstelle im Verknüpfungs-Format LNK ermöglicht. Versucht der Windows Explorer, das Datei-Icon einer solchen Verknüpfung anzuzeigen, tritt der Fehler auf. Der entsprechend darauf ausgelegte Trojaner installiert dann zwei Rootkit-Treiber, die die Attacke für den User fortan unsichtbar machen. Um auch dabei unbemerkt zu bleiben, wurde das Sicherheitszertifikat mit Daten des Herstellers Realtek präpariert.
Registry-Hack sorgt für Sicherheit
Microsoft hat die Windows-Schwachstelle bereits bestätigt. Ein Registry-Eintrag vorübergehend für Sicherheit: Folgen Sie zunächst dem Registry-Schlüssel "HKEY_CLASSES_ROOT\
lnkfile\shellex\IconHandler". Den Wert "Standard" in der rechten Fensterhälfte öffnen Sie mit einem Doppelklick. Entfernen Sie anschließend die in "Wert" eingetragene Zeichenfolge {00021401-0000-0000-C000-000000000046}. Nach einem Explorer- oder Rechner-Neustart werden keine Verknüpfungssymbole mehr angezeigt und der damit verbundene Fehler kann nicht ausgenutzt werden.
Für alle, die diese Maßnahmen nicht "von Hand" ergreifen wollen, hat Microsoft in diesem Artikel einen Hotfix zum Download freigegeben, der den genannten Registry-Eingriff automatisch durchführt. Egal ob Sie den Hotfix eigenhändig durchführen oder das Microsoft-Tool verwenden: Anschließend haben alle Verknüpfungen das gleiche Icon!
Microsoft weist außerdem darauf hin, dass die Schwachstelle auch über den Web-Client-Dienst angesprochen werden kann. Wollen Sie Ihren Rechner so gut wie möglich absichern, sollten Sie diesen Dienst daher ebenfalls deaktivieren. Dazu genügt eine Startmenü-Suche nach "Dienste" und ein Doppelklick auf den Eintrag "WebClient". Sobald Sie ihn beenden und den Starttyp auf "Deaktiviert" setzen, geht von ihm keine Gefahr mehr aus.
Der Ernstfall: Mindestens drei Schädlinge im Umlauf
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindrücklich vor den Gefahren, die von der Sicherheits-Lücke ausgehen: "Bislang wurde die Schwachstelle über mobile Datenträger wie USB-Sticks für gezielte Angriffe im Unternehmensumfeld ausgenutzt. Aufgrund aktueller Veröffentlichungen im Internet, die aufzeigen wie die Windows-Schwachstelle auch über Netzlaufwerke und den Standard WebDAV (Web-based Distributed Authoring and Versioning) ausgenutzt werden kann, erwartet das BSI, dass die Sicherheitslücke jetzt auch für Angriffe via Internet oder E-Mail ausgenutzt werden kann. Außerdem weist Microsoft darauf hin, dass ein Angreifer den Schadcode auch in bestimmte Dokumente, wie etwa Microsoft Office-Dateien, einbetten könnte. Vor diesem Hintergrund sollten auch Privatnutzer die Empfehlungen des Microsoft Security Advisorys befolgen."
Der befürchtete Worst-Case ist mittlerweile eingetreten. Aktuell sind drei Schädlinge bekannt, die sich unter anderem per Mail verbreiten. Einer dieser Trojaner nutzt die Schwachstelle beispielsweise, um einen Keylogger nachzuladen und so alle Tastatur-Eingaben an dem infizierten Rechner mitzuprotokollieren. Wann Microsoft einen echten Patch für das Problem veröffentlicht, steht bisher noch nicht fest. Wir raten daher ebenso wie das BSI dringend zur Vorsicht und Anwendung des Hotfix.
[Quelle: CHIP Online /mag/cel]
Für mehr Infos :22:
Den "HotFix" gibts hier .
Gruß
data