Menü
Alert!
Security

Exploit demonstriert kritische Windows-LNK-Lücke

vorlesen Drucken Kommentare lesen 294 Beiträge

Seit Sonntag ist ein Proof-of-Concept-Exploit im Umlauf, der die bislang ungepatchte Windows-Lücke bei der Anzeige von LNK-Dateien ausnutzt. Auch der Quellcode scheint bereits im Umlauf zu sein. Sobald die Windows-Shell versucht, das Icon der manipulierten LNK-Datei zu laden, sendet der Exploit die Meldung "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" an den Windows-Debugger, um den Erfolg der Operation zu verkünden.

Angreifer können an dieser Stelle beliebigen Programmcode ausführen, ohne dass das Opfer eine verdächtig wirkende EXE-Datei ausführen muss. Der Schadcode lässt sich auch via WebDAV oder Netzwerkfreigaben über das Netz ausführen, er muss sich hierzu nicht auf einem lokalen Datenträger befinden.

Mit der Veröffentlichung des Exploits wächst der Druck auf Microsoft, die seit rund einer Woche bekannte Sicherheitslücke zu schließen. Verwundbar sind alle noch unterstützten Windows-Versionen seit Windows XP. Während die bisherigen Angriffe noch sehr nach professioneller Industriespionage aussahen, dürften Kriminelle mittlerweile längst großflächig angelegte Attacken vorbereiten und dabei wenig wählerisch bei der Wahl ihrer Opfer sein.

Als Schutzmaßnahme empfiehlt Microsoft, die Anzeige von Icons für LNK-Dateien durch eine Änderung am Registry-Wert HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler abzuschalten. Allerdings sollte man zuvor ein Backup der bisherigen Einstellung anlegen. Darüber hinaus könne man den Web-Client-Dienst abschalten, um Angriffe via WebDAV zu verhindern. (rei)