Schadsoftwareverbreitung: Microsoft warnt vor Windows (Software)

Martin Vogel ⌂ @, Dortmund / Bochum, Sonntag, 18.07.2010, 07:10 (vor 3138 Tagen)

Die Firma Microsoft warnt davor, Wechseldatenträger wie USB-Sticks oder Netzwerkfreigaben in Verbindung mit ihrem Betriebssystem Windows einzusetzen. Durch eine Sicherheitslücke in der Behandlung von .lnk-Dateien (Verknüpfungen) können diese zur Ausführung von Schadsoftware eingesetzt werden.

Unglaublich: Es genügt dazu die Darstellung des Icons einer Verknüpfung.

Es ist grundsätzlich eine gute Idee, für alle Wechseldatendatenträger und Netzwerkfreigaben die hochgefährliche Windows-Autostart-Funktion zu deaktivieren – nun muss man die meiste Schadsoftware immerhin erst anklicken, um sie auszuführen.

Für die vorgestellte Sicherheitslücke genügt diese Vorsichtsmaßnahme nicht. Hier reicht unter Umständen das bloße Betrachten des jeweiligen Wurzelverzeichnisses, damit Microsoft Windows Spionage- und andere Schadsoftware installiert. Ein Notbehelf besteht darin, Windows das Anzeigen von Icons zu untersagen. Dazu muss der Wert des Registrierdatenbankschlüssels HKEY_CLASSES_ROOTlnkfileshellexIconHandler geleert werden.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

Heise erwartet großflächige Attacken durch Windows-PCs

Martin Vogel ⌂ @, Dortmund / Bochum, Montag, 19.07.2010, 12:06 (vor 3137 Tagen) @ Martin Vogel

Der Quelltext zur Ausnutzung der unfassbaren Windows-Sicherheitslücke, durch die alle aktuellen Windowsversionen beim Betrachten von Icons beliebigen Programmcode ausführen können, ist bereits im Umlauf. Sicherheitsexperten erwarten kurzfristig massive, breit gestreute Angriffe gegen Windows-Anwenderinnen und -Anwender.

http://www.heise.de/newsticker/meldung/Exploit-demonstriert-kritische-Windows...

Falls Sie Windows verwenden: Machen Sie JETZT ein Backup aller wichtigen Daten!

Wenn Sie gerne in der Registry herumfrickeln, schalten Sie gemäß dieser Microsoftanleitung die Iconanzeige für LNK-Dateien durch Löschen des Inhalts des Wertes HKEY_CLASSES_ROOTlnkfileshellexIconHandler ab. Wenn die Meldung "Fehler beim Bearbeiten des Werts – (dickes weißes X im roten Kreis) kann nicht bearbeitet werden: Fehler beim Schreiben des Inhalts des Werts." erscheint, wenden Sie sich an den zuständigen Systembetreuer.

Falls Sie WebDAV verwenden, starten Sie mittels Fähnchentaste+R die Microsoftkonsolenanwendung "services.msc", suchen Sie den Dienst "WebClient" und deaktivieren Sie ihn. Falls der Dienst läuft, stoppen Sie ihn! Falls die entsprechenden Funktionen ausgegraut sind, wenden Sie sich noch einmal an den zuständigen Systembetreuer.

Sollten Sie die Anleitung auf der genannten Microsoftseite nicht finden, so ist das ganz normal. Der entsprechende Absatz ist versteckt und wird erst angezeigt, wenn Sie das Pluszeichen vor "Workarounds" anklicken.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

... und wie gehts dann weiter?

NicO @, Mittwoch, 21.07.2010, 11:29 (vor 3135 Tagen) @ Martin Vogel

Wenn Sie gerne in der Registry herumfrickeln, schalten Sie
gemäß
dieser Microsoftanleitung
die Iconanzeige für LNK-Dateien durch
Löschen des Inhalts des Wertes
HKEY_CLASSES_ROOTlnkfileshellexIconHandler ab.

Na gut, dann ist man vielleicht etwas sicherer - aber nu sind icon weg :lookaround:

Hat jemand was gehört, ob Microsoft das mit irgend einem update in naher Zukunft beheben wird und man die icons wieder aktivieren kann, oder muss man erstmal damit leben?

Klickibunti kaputti

Martin Vogel ⌂ @, Dortmund / Bochum, Mittwoch, 21.07.2010, 13:46 (vor 3135 Tagen) @ NicO

Hat jemand was gehört, ob Microsoft das mit irgend einem update in naher
Zukunft beheben wird und man die icons wieder aktivieren kann, oder muss
man erstmal damit leben?

Sobald der öffentliche Druck groß genug wird, veröffentlicht Microsoft bestimmt ein weniger produktivitätstötendes Sicherheitsupdate. Entweder am nächsten oder übernächsten Flicktag (das müsste der 10. August oder der 14. September sein) oder vielleicht sogar außerhalb der Reihe.

Bis jetzt bietet der Softwaregigant immerhin zwei Progrämmchen an, mit denen sich die Sicherheitslücke aus- und bei Bedarf wieder einschalten lässt.

Zum Abschalten der Sicherheitslücke unter Verlust aller bunten Klickmichbildchen: http://go.microsoft.com/?linkid=9738980
[image]

Zum Reanimieren der Icons und Wiederaufreißen der Sicherheitslücke: http://go.microsoft.com/?linkid=9738981
[image]

In einem Nebensatz erfährt man dort übrigens, dass nicht nur LNK-Dateien, sondern auch PIF-Dateien betroffen sind. Für alle, die in Paläoinformatik nicht aufgepasst haben: in PIF-Dateien werden die Ausführungseigenschaften von MS-DOS-Konsolenprogrammen gespeichert (Speicherbedarf, Arbeitsverzeichnis und - genau - ein Programmicon).

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

ist alles wieder gut?

NicO @, Freitag, 23.07.2010, 13:24 (vor 3133 Tagen) @ Martin Vogel
bearbeitet von NicO, Freitag, 23.07.2010, 13:28

Sobald der öffentliche Druck groß genug wird, veröffentlicht Microsoft
bestimmt ein weniger produktivitätstötendes Sicherheitsupdate. Entweder
am nächsten oder übernächsten Flicktag (das müsste der 10. August oder
der 14. September sein) oder vielleicht sogar außerhalb der Reihe.

Gestern gab es ein Sicherheitsupdate für Windows 7
"Windows-Tool zum Entfernen bösartiger Software - Juli 2010 (KB890830)"

Ist darin schon ein Stöpsel für die Sicherheitslücke enthalten?
Woran kann man das erkennen?

Nichts ist gut in Absurdistan

Martin Vogel ⌂ @, Dortmund / Bochum, Freitag, 23.07.2010, 13:33 (vor 3133 Tagen) @ NicO

"Windows-Tool zum Entfernen bösartiger Software - Juli 2010 (KB890830)"

Das ist nur der regelmäßig neu aufgelegte Schadsoftwarescanner. Damit werden nach Auffassung von Microsoft besonders häufig auftretende schädliche Programme erkannt und beseitigt.

Sicherheitslücken schließt das Programm nicht.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

Montagabend, kurz vor der Tagesschau

Martin Vogel ⌂ @, Dortmund / Bochum, Freitag, 30.07.2010, 21:10 (vor 3126 Tagen) @ NicO

Hat jemand was gehört, ob Microsoft das mit irgend einem update in naher
Zukunft beheben wird und man die icons wieder aktivieren kann, oder muss
man erstmal damit leben?

Microsoft plant angeblich, bis Montagabend, 19:00 Uhr, einen Windowsflicken auslieferungsfertig machen zu können.

Quelle: Heise

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

Bundesamt für Sicherheit in der Informationstechnik rät zum Abschalten der Windows-Icons

Martin Vogel ⌂ @, Dortmund / Bochum, Donnerstag, 22.07.2010, 12:54 (vor 3134 Tagen) @ Martin Vogel

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) rät Windows-Nutzerinnen und -Nutzern dringend, die von Microsoft zur Verfügung gestellte Notlösung zum Abschalten der gefährlichen Verknüpfungsicons anzuwenden. Es ist immer noch besser, im Beinaheblindflug nach Dateien zu suchen, als den Rechner durch Anzeigen des falschen Windows-Bildchens zu gefährden:

[Link veraltet, entfernt]

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

Windows Shortcut Exploit Protection Tool

Martin Vogel ⌂ @, Dortmund / Bochum, Dienstag, 27.07.2010, 15:03 (vor 3129 Tagen) @ Martin Vogel

Die Firma Sophos, Anbieter von Windows-Schutzsoftware, bietet ein kleines kostenloses Programm an, das die fatalen Windows-Routinen zur Icondarstellung gegen eigene ersetzt und alle Verknüpfungen auf Wechseldatenträgern auf Unbedenklichkeit hin überprüft.

http://www.sophos.com/security/topic/shortcut.html

Wer bereits den Sophos Virenscanner einsetzt, benötigt das Programm nach Angaben auf der Webseite nicht zusätzlich.

--
Dipl.-Ing. Martin Vogel
Leiter des Bauforums

Heute schon programmiert? Einführung in Python 3 (PDF)

RSS-Feed dieser Diskussion
powered by my little forum