Guninski findet Lücke in Microsofts Explorern

Georgi Guninski hat über Ostern ein faules Ei im Windows-System gefunden. Durch einen Trick lassen sich ausführbare Dateien hinter scheinbar harmlosen Dateiendungen verstecken. Guninski demonstriert den Fehler mit einer modifizierten TXT-Datei.

Das Täuschungsmanöver funktioniert beim Windows Explorer und beim Internet Explorer. Die Methode ist simpel. Anstatt die Datei unter ihrer zugehörigen Endung zu speichern, referenziert man direkt auf die Klassen-ID (CLSID). In Guninskis Beispiel heißt die Datei "testhta.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}". Die genannte CLSID gehört zu HTML Applications (HTA) und nicht zu TXT-Dateien. Dem Windows und Internet Explorer ist das einerlei. Beide Programme zeigen die Datei nur als "testha.txt" an, die verräterische CLSID wird nicht angezeigt. Ein Doppelklick auf die vermeintliche Textdatei genügt, um beliebige Schadensfunktionen unter vollen Benutzerrechten auszuführen.

Im Windows Explorer (oben) wird die vermeintliche Textdatei testhta.txt nur unter der Rubrik "Typ" als "HTML Application" enttarnt. Außerdem passt das Windows-Logo nicht. Das Packprogramme WinZip läßt sich nicht täuschen und zeigt die CLSID an.

Wie Guninski herausgefunden hat, funktioniert die Methode auch, wenn Benutzer sich alle versteckten Dateien anzeigen lassen. Hinweise auf Abnormalitäten gibt der Windows Explorer dem aufmerksamen Benutzer aber doch. Er weist die TXT-Datei unter der Rubrik "Typ" als "HTML Application" aus. Dieser Hinweis findet sich auch unter den Datei-Eigenschaften. Außerdem wird das Windows-Logo neben der Datei angezeigt, was auf einen unbekannten Dateityp hinweist. Die Demonstrationsdatei finden Sie auf den Webseiten von Georgi Guninski. Weitere sicherheitsrelevante Informationen bietet der Report Aktuelle IE Sicherheitslücken. (uba)