Aktuelle IE-Sicherheitslücken
Neu: Dateireferenzierung über Klassen-ID
Ausführbare Dateien, die auf Grund ihrer angezeigten Dateiendung nicht als solche erkennbar sind, verführen Anwender häufig zu einem unbedachten Doppelklick. Angreifer tarnen daher ihre Malware gerne mittels doppelter Namenserweiterungen wie etwa Loveletter.txt.vbs. In der Standardeinstellung blenden sowohl der Windows Explorer als auch der Internet Explorer die Extension registrierter Dateitypen aus, so dass der User die vermeintlich harmlose Datei Loveletter.txt sieht.
Das Täuschungsmanöver funktioniert selbst dann, wenn man sich alle Dateien mitsamt Erweiterungen anzeigen lässt. Man muss lediglich auf die Klassen-ID (CLSID) referenzieren. Als Beispiel nennt Bugjäger Georgi Guninski die Datei "testhta.txt.{3050F4D8-98B5-11CF-BB82-00AA00BDCE0B}". Die genannte CLSID gehört nicht zu TXT-Dateien, sondern zu HTML Applications (HTA). Ein Aufruf der angeblichen Textdatei genügt, um beliebige Schadensfunktionen auszuführen.
Workaround
Konsequenterweise sollte man aus dem Windows Explorer oder Internet Explorer keine Dateien aufrufen, die man nicht vorab geprüft hat. Dazu bieten sich die Datei-Eigenschaften aus dem Kontextmenü an, über der sich der tatsächliche Typ ermitteln lässt. Dies ist natürlich umständlich - allerdings auch die einzige Schutzmöglichkeit bis Microsoft einen Patch herausbringt.
Datum: | 16. April 2001 |
|---|---|
| |
Betrifft: | Internet Explorer und Windows Explorer |
Wirkung: | Ausführen beliebigen Codes |
Patch: | Keiner |