Täuschende Dateinamen unter Vista

Angreifer können Unicode-Zeichenkodierungen unter Windows Vista zur Verschleierung von Dateinamen und auch der -endungen missbrauchen. Eine Demonstration von Max Ried lässt eine ausführbare Screensaver-Datei (.scr) als harmloses Bild (.jpg) erscheinen.

Windows XP zeigt den Dateinamen korrekt an.
Der 7Zip-Dateimanager zeigt unter Windows Vista die gefälschte Datei-Endung an.
Auch auf dem Desktop läuft unter Windows XP alles korrekt.
Auf dem Vista-Desktop kann man die ausführbare Datei nur noch am Icon erkennen – das lässt sich aber auch anpassen.

Die verdrehte Anzeige des Dateinamens lässt sich auf Unicode-Steuerzeichen für die Umschaltung der Schreibrichtung zurückführen. Sie ist etwa für den arabischen Raum nötig, wo die Schreibrichtung von rechts nach links verläuft. Unicode kennt die Steuerzeichen (PDF) Right-To-Left-Override (RLO, 202E) und Left-To-Right-Override (LRO, 202D) zum Umschalten der Schreibrichtung.

Unter Windows Vista und möglicherweise auch anderen Betriebssystemen sind diese Sonderzeichen auch in Dateinamen erlaubt; unter Windows XP hingegen nicht. Angreifer können Vista-Nutzer dadurch ins Bockshorn jagen, dass sie ausführbaren Schadcode mit diesen Sonderzeichen tarnen. Dann helfen auch die üblichen Hinweise zum Schutz vor Schädlingsbefall nicht, wie ausführbare E-Mail-Anhänge nicht zu starten.

Allerdings sollte inzwischen auch allgemein bekannt sein, dass vermeintlich harmlose Dateiformate wie Dokumente, Bilder, MP3-Dateien oder gar Playlisten ebenfalls Schadcode für Lücken in der zugehörigen Software transportieren können und Anwender solche Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen meiden sollten. Dennoch sollte Microsoft über einen Patch nachdenken, der solche Sonderzeichen zur Umschaltung der Schreibrichtung zumindest in Dateinamen verbietet – einen sinnvollen Einsatzzweck für solche Zeichen in Dateinamen dürfte es nicht geben. (dmk)