Seit in der letzten Woche Informationen über einen Spionage-Wurm veröffentlicht wurden, der eine bis dahin nicht bekannte Sicherheitslücke in allen Windows-Versionen ausnutzt, sind häppchenweise etliche neue Erkenntnisse über diese Lücke bekannt geworden. So gibt es offenbar neben USB-Sticks eine Reihe weiterer Angriffsvektoren.
Während sich die Stuxnet-Malware über auf spezielle Weise infizierte USB-Sticks verbreitet, kann die LNK-Lücke auch über Netzwerkfreigaben und WebDAV ausgenutzt werden. Microsoft hat inzwischen weitere Angriffsvektoren entdeckt und seine Sicherheitsmitteilung 2286198 mehr als einmal aktualisiert. Neben LNK-Dateien (Verknüpfungen) können demnach auch präparierte PIF-Dateien (Program Information File) eingesetzt werden, eine Altlast aus alten 16-Bit-Windows-Versionen. LNK- wie PIF-Dateien sind schon seit Jahren als unsicher bekannt, wenn auch aus anderen Gründen.
Microsoft gibt weiterhin an, dass auch Dokumente wie zum Beispiel Office-Dateien, die Dateiverknüpfungen enthalten können, als Angriffsvektoren dienen können. Spätestens damit ist zu erwarten, dass es in absehbarer Zeit auf breiter Front zu Malware-Angriffen kommen kann, die mit präparierten Mail-Anhängen oder Downloads erfolgen.
Fix-it-Lösung als Workaround
Microsoft hat seine Palette so genannter Fix-it-Lösungen um einen Workaround für die LNK-Lücke erweitert. Der Knowledge-Base-Artikel KB2286198 stellt diese Ein-Klick-Lösung bereit sowie eine gleichartige Möglichkeit diesen Workaround wieder rückgängig zu machen. Dadurch muss die von Microsoft bereits früher vorgeschlagene Registry-Änderung nicht mehr manuell vorgenommen werden.
Diese Lösung hat allerdings den Nachteil, dass Verknüpfungssymbole etwa in der Schnellstartleiste und im Startmenü nicht mehr angezeigt sondern durch nichts sagende Standarddateisymbole ersetzt werden. Diese Komforteinbuße sollten Sie jedoch vorübergehend hin nehmen, denn sie schützt den Rechner vor der Ausnutzung der Sicherheitslücke, bis Microsoft eine richtige Lösung bereit stellt. Für ältere Windows-Versionen wie Windows 2000 oder XP SP2, für die Microsoft keine Sicherheits-Updates mehr liefert, könnte dies allerdings zur Dauerlösung werden.
Unterdessen hat Siemens bestätigt, dass zumindest ein deutsches Industrieunternehmen, das die Siemens-Software Step7 und/oder WinCC einsetzt, Opfer der Stuxnet-Malware geworden ist. Die Stuxnet-Malware sucht speziell nach Rechnern mit dieser Simatic-Software für die Steuerung von Industrieanlagen. Die Siemens-Software benutzt ein fest vorgegebenes Passwort für den Datenbankzugriff, das nicht geändert werden darf. Siemens hat eine Warnmeldung zu diesem Problem veröffentlicht.
Exploit-Code für die Ausnutzung der LNK-Lücke ist öffentlich verfügbar, auch als Metasploit-Modul für Penetrationstests. Das Abschalten von Autorun und Autoplay für Wechseldatenträger hilft nicht gegen die Ausnutzung dieser neuen Sicherheitslücke.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls eine Warnmeldung heraus gegeben. Darin empfiehlt das BSI die Anwendung der von Microsoft vorgeschlagenen Workarounds. (PC Welt/mje)