LNK 0-Day: Grundlagen

Am letzten Wochenende habe ich nochmals einige Zeit damit verbracht, die Zero-Day-Lnk (Shortcut) –Lücke in Windows, über die Alex Gostev in der vorigen Woche einen Blogbeitrag veröffentlicht hatte, genauer zu analysieren. Diese wurde inzwischen als CVE-2010-2568 klassifiziert und tritt derzeit aktiv „in the wild“ auf.

Mein Hauptfazit ist, dass diese Sicherheitslücke ein wesentlicher Teil der Art und Weise ist, wie Windows Lnk-Dateien behandelt. Dadurch ergeben sich zwei negative Konsequenzen: Zunächst handelt es sich eher um eine Standardfunktion, so dass es weitaus schwieriger sein wird, generische Erkennungsmethodiken zu entwickeln, die keine False-Positives verursachen.

Zweitens befürchte ich, dass Microsoft große Probleme haben wird, diese Sicherheitslücke zu schließen. Es scheint kein Sicherheitsmodel für die Art und Weise zu existieren, wie Windows Shortcut-Dateien behandelt. Die ganze Situation erinnert mich ein wenig an die Schwachstellen im WMF-Format – ein weiterer Fall von veraltetem Code (Legacy Code), der „zurückkommt, um Microsoft zu beißen“.

Wir haben generische Erkennungsroutinen für Lnk-Dateien veröffentlicht, mit denen dieses Feature ausgenutzt werden soll. Meiner Meinung nach wird dem Lnk-Format von nun an verstärkte Aufmerksamkeit zuteil werden – sowohl von den guten als auch von den bösen Jungs -, so dass es sich empfiehlt, sich mit den von Microsoft vorgesehenen Abhilfemaßnahmen auseinanderzusetzen. Der Aufwand lohnt sich mit Sicherheit, da ich fest davon überzeugt bin, dass, während wir noch auf das Sicherheitspatch warten, Systeme im großen Stil über diese Lücke infiziert werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.