Menü
Security

LNK-Lücke: Microsoft-Fix sorgt für Icon-Chaos

vorlesen Drucken Kommentare lesen 273 Beiträge

Blindflug: Wer den Workaround von Microsoft anwendet, verliert schnell den Überblick.

(Bild: heise Security)

Microsoft bietet auf seiner Supportseite seit dem heutigen Mittwoch Fix-it-Buttons an, über die man den Workaround, der die Nutzer vor den Folgen der ungepatchten LNK-Lücke sämtlicher Windows-Versionen bewahrt, assistentengesteuert aktivieren und wieder rückgängig machen kann. Nach dem Eingriff ignoriert Windows die Icons von Programmverknüpfungen, wodurch die Navigation durch Startmenü, Desktop und Taskleiste zum Blindflug wird. Wer bislang sein System absichern wollte, musste händisch einen Wert in der Registry ändern, was zumindest grundlegende Computerkenntnisse erfordert.

Unterdessen kursieren verschiedene Lösungsansätze, welche die kritische Lücke unter Erhalt der Verknüpfungs-Icons schließen sollen. So klemmt sich etwa die Shell-Erweiterung LinkIconShim vor den verwundbaren LNK-Handler und soll die potenziell verdächtigen Icon-Verweise zur Systemsteuerung abfangen. Bei der Installation auf einem Testsystem erhielten wir jedoch eine Fehlermeldung, dass sich die DLL nicht registrieren ließe. Auch die Filtersoftware Ariad von Didier Stevens soll LNK-Dateien an der Ausführung von Schadcode auf einem 32-bittigen Windows hindern können. Der Autor weist jedoch ausdrücklich auf den Betastatus seiner Software hin und warnt vor dem produktiven Einsatz.

In Firmenumgebungen können auch Software Restriction Policies in einem gewissen Maße die Angriffsfläche reduzieren, wie Stevens in seinem Blog berichtet. Die Richtlinien sorgen dafür, dass nur noch Programmcode von bestimmten Laufwerken ausgeführt wird – befindet sich der Schadcode auf einem Wechseldatenträger oder einer Netzwerkfreigabe, wird er geblockt. Entpackt man jedoch ein ZIP-Archiv mit infizierten Dateien nach dem Download auf die Systemplatte, greifen die Richtlinien nicht.

Nachdem das Internet Storm Center (ISC) die Gefahrenwarnstufe aufgrund der LNK-Lücke am gestrigen Dienstag von Grün auf Gelb erhöht hatte, gibt die Website inzwischen wieder grünes Licht. Man habe das Ziel der Erhöhung, auf die drohende Angriffswelle aufmerksam zu machen, erreicht und werde die Warnstufe bei Sichtung eines größeren Angriffs unter Umständen wieder erhöhen, kommentiert das ISC. (rei)