Alert! Öffnen von gefälschten Ordnern startet Programme unter XP

Auf der Mailingliste Full Disclosure hat ein Sicherheitsexperte mit dem Pseudonym http-equiv eine Schwachstelle in Windows XP gemeldet, mit der sich ausführbare Dateien als Windows-Ordner tarnen lassen. Dazu reicht es aus, der Datei die Endung ".folder" hinzuzufügen. Das ursprüngliche Icon wechselt dann zum Ordnersysmbol. Ist dann noch im Windows Explorer die Option "Erweiterungen bei bekannten Dateien ausblenden" aktiviert, fällt die Täuschung überhaupt nicht mehr auf.

Ein Doppelklick öffnet dann nicht den Ordner, sondern führt die Datei aus. Allerdings muss ein Angreifer dazu ein wenig rumtricksen, da sich normale EXE-Dateien so nicht starten lassen. Stattdessen steckt hinter dem vermeintlichen Ordner eine HTML-Datei mit etwas JavaScript, in der eine MIME-codierte EXE-Datei steckt. Die HTML-Datei führt beim Öffnen die EXE mit den Rechten des Benutzers aus. Eine ähnliche Technik verwendete auch der Trojaner JS/StartPage.dr alias TrojanDropper/Mimail.b, ohne allerdings auf den Ordnertrick zurückzugreifen.

Die Schwachstelle ist nicht nur auf die Ansicht im Windows Explorer beschränkt. Auch in gezippten Dateien wird der gefälschte Ordner angezeigt, sowohl beim XP-eigenen ZIP-Manager als auch mit Winzip. Der vorherige Blick in eine komprimierte Datei, um sich vor unliebsamen Überraschungen zu schützen, reicht nun schon aus, um sich mit Schädlingen und Dialern zu infizieren.

http-equiv hat ein Demo-Exploit dazu auf seiner Webseite veröffentlicht. Eine Lösung für dieses Problem ist zur Zeit nicht bekannt. Anwender sollten komprimierte Dateien aus unbekannten Quellen nicht öffnen.

Siehe dazu auch: (dab)

• Posting auf Full Disclosure