{"id":192839,"date":"2017-08-07T01:55:03","date_gmt":"2017-08-06T23:55:03","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192839"},"modified":"2022-06-18T06:53:38","modified_gmt":"2022-06-18T04:53:38","slug":"windows-sicherheitslcke-ber-lnk-codeausfhrung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/07\/windows-sicherheitslcke-ber-lnk-codeausfhrung\/","title":{"rendered":"Windows: Sicherheitslücke über LNK-Codeausführung"},"content":{"rendered":"

Das CERT warnt aktuell vor einer Sicherheitsl\u00fccke (LNK Remote Code Execution Vulnerability), die in allen Windows-Versionen existiert. \u00dcber Verkn\u00fcpfungen (.lnk) kann man Code ausf\u00fchren lassen. Der Mechanismus kann aber auch f\u00fcr Angriffe verwendet werden, weshalb das CERT vor der L\u00fccke warnt. <\/p>\n

<\/p>\n

\"\"Eigentlich ist es ja Sinn und Zweck einer Verkn\u00fcpfung (.lnk), dass diese auch auf ausf\u00fchrbare Programme zeigen kann. Wird die Verkn\u00fcpfung vom Benutzer per Doppelklick angew\u00e4hlt, wird das verkn\u00fcpfte Programm gestartet. <\/p>\n

Fehler bei Icon-Anzeige von LNK-Dateien<\/h2>\n

In der VU#824672-Sicherheitsmeldung<\/a> warnt das CERT (US Software Engineering Institute der Carnegie Mellon University) vor einer Schwachstelle (LNK Remote Code Execution Vulnerability) in der Handhabung von Verkn\u00fcpfungen unter Windows. <\/p>\n

Microsoft Windows versagt bei der Aufgabe, Icons f\u00fcr Verkn\u00fcpfungen sicher anzuzeigen. Bei der Anzeige von Systemsteuerungselemente initialisiert Windows jedes dieser Objekte, um dynamisch die gew\u00fcnschten Funktionen bereitzustellen. Das bedeutet, das darunter liegende Control Panel-Applet wird bereits ausgef\u00fchrt, sobald die Icons angezeigt werden. <\/p>\n

Ein Angreifer kann eine Verkn\u00fcpfung nutzen, um Windows im Kontext der Systemsteuerung zur Ausf\u00fchrung einer kompromittierten DLL zu veranlassen. Der Schadcode kann auf einem USB-Medium, auf CD-ROM, im lokalen oder auf einem remote Dateisystem oder an anderen Stellen liegen. <\/p>\n

Anzeige im Explorer reicht aus<\/h2>\n

Bereits die Anzeige der Verkn\u00fcpfungsdatei und deren Symbol reichen aus, um die Codeausf\u00fchrung des verlinkten Schadprogramms zu triggern. Auch Anwendungen, die Symbole von Dateien anzeigen, k\u00f6nnen ebenfalls f\u00fcr einen Angriff verwendet werden. Das Problem ist unter VU#940193<\/a> (CVE-2010-2568) beschrieben. <\/p>\n

Microsoft hat zwar am 27. Juni 2017 die LNK Remote Code Execution Vulnerability<\/a> adressiert und Updates bereitgestellt. Der Fix f\u00fcr CVE-2010-2568 und der Fix f\u00fcr CVE-2016-0096 sind aber unzureichend, um die Sicherheitsl\u00fccke endg\u00fcltig zu schlie\u00dfen. Beide Fixes behandeln nicht den Fall, dass in einer LNK-Datei die Attribute SpecialFolderDataBlock<\/a> oder KnownFolderDataBlock<\/a> verwendet werden, um die Lage eines Ordners anzugeben. Entsprechend pr\u00e4parierte Dateien k\u00f6nnen das im Fix f\u00fcr CVE-2010-2568 implementierte Whitelisting umgehen. Exploit-Code f\u00fcr diese Sicherheitsl\u00fccke ist inzwischen \u00f6ffentlich verf\u00fcgbar. <\/p>\n

Je nach Konfigurierung der AutoPlay-Einstellungen reicht bereits das Einlegen eines Mediums (CD, DVD, USB-Stick), um den Link auszuf\u00fchren. Oder: Sobald ein Angreifer den Nutzer dazu bringt, die Verkn\u00fcpfungsdatei anzuzeigen, wird der Schadcode mit den Berechtigungen des Benutzers ausgef\u00fchrt. Da viele Benutzer unter Administratorkonten unterwegs sind und es UAC-Bypassing-Methoden<\/a> gibt, k\u00f6nnte Malware auch administrative Berechtigungen erhalten, ohne dass die Benutzerkontensteuerung erscheint. <\/p>\n

Abhilfe ist m\u00f6glich<\/h2>\n

Das CERT empfiehlt als erstes, dass Update aus Microsoft Update for CVE-2017-8464<\/a> zu installieren. Weiterhin werden folgende Ma\u00dfnahmen empfohlen.<\/p>\n