Windows: Sicherheitslücke über LNK-Codeausführung

Das CERT warnt aktuell vor einer Sicherheitslücke (LNK Remote Code Execution Vulnerability), die in allen Windows-Versionen existiert. Über Verknüpfungen (.lnk) kann man Code ausführen lassen. Der Mechanismus kann aber auch für Angriffe verwendet werden, weshalb das CERT vor der Lücke warnt.

Eigentlich ist es ja Sinn und Zweck einer Verknüpfung (.lnk), dass diese auch auf ausführbare Programme zeigen kann. Wird die Verknüpfung vom Benutzer per Doppelklick angewählt, wird das verknüpfte Programm gestartet.

Fehler bei Icon-Anzeige von LNK-Dateien

In der VU#824672-Sicherheitsmeldung warnt das CERT (US Software Engineering Institute der Carnegie Mellon University) vor einer Schwachstelle (LNK Remote Code Execution Vulnerability) in der Handhabung von Verknüpfungen unter Windows.

Microsoft Windows versagt bei der Aufgabe, Icons für Verknüpfungen sicher anzuzeigen. Bei der Anzeige von Systemsteuerungselemente initialisiert Windows jedes dieser Objekte, um dynamisch die gewünschten Funktionen bereitzustellen. Das bedeutet, das darunter liegende Control Panel-Applet wird bereits ausgeführt, sobald die Icons angezeigt werden.

Ein Angreifer kann eine Verknüpfung nutzen, um Windows im Kontext der Systemsteuerung zur Ausführung einer kompromittierten DLL zu veranlassen. Der Schadcode kann auf einem USB-Medium, auf CD-ROM, im lokalen oder auf einem remote Dateisystem oder an anderen Stellen liegen.

Anzeige im Explorer reicht aus

Bereits die Anzeige der Verknüpfungsdatei und deren Symbol reichen aus, um die Codeausführung des verlinkten Schadprogramms zu triggern. Auch Anwendungen, die Symbole von Dateien anzeigen, können ebenfalls für einen Angriff verwendet werden. Das Problem ist unter VU#940193 (CVE-2010-2568) beschrieben.

Microsoft hat zwar am 27. Juni 2017 die LNK Remote Code Execution Vulnerability adressiert und Updates bereitgestellt. Der Fix für CVE-2010-2568 und der Fix für CVE-2016-0096 sind aber unzureichend, um die Sicherheitslücke endgültig zu schließen. Beide Fixes behandeln nicht den Fall, dass in einer LNK-Datei die Attribute SpecialFolderDataBlock oder KnownFolderDataBlock verwendet werden, um die Lage eines Ordners anzugeben. Entsprechend präparierte Dateien können das im Fix für CVE-2010-2568 implementierte Whitelisting umgehen. Exploit-Code für diese Sicherheitslücke ist inzwischen öffentlich verfügbar.

Je nach Konfigurierung der AutoPlay-Einstellungen reicht bereits das Einlegen eines Mediums (CD, DVD, USB-Stick), um den Link auszuführen. Oder: Sobald ein Angreifer den Nutzer dazu bringt, die Verknüpfungsdatei anzuzeigen, wird der Schadcode mit den Berechtigungen des Benutzers ausgeführt. Da viele Benutzer unter Administratorkonten unterwegs sind und es UAC-Bypassing-Methoden gibt, könnte Malware auch administrative Berechtigungen erhalten, ohne dass die Benutzerkontensteuerung erscheint.

Abhilfe ist möglich

Das CERT empfiehlt als erstes, dass Update aus Microsoft Update for CVE-2017-8464 zu installieren. Weiterhin werden folgende Maßnahmen empfohlen.

  • Ausgehende SMB-Verbindungen blocken: Ausgehende Verbindungen auf den Ports 139/tcp, 139/udp, 445/tcp und 445/udp sollten im Netzwerk per Firewall geblockt werden. Das verhindert, dass Maschinen im lokalen Netzwerk Verbindungen zu SMB-Servers im Internet Verbindungen aufnehmen und Schadcode ausführen können.
  • WebDAV abschalten: Auch bei geblocktem SMB-Verkehr kann Windows per WebDAV-Protokoll auf Netzwerkfreigaben per HTTP zugreifen.

Auf einem Windows-Client kann WebDAV abgeschaltet werden, indem man den Starttyp für den WebClient-Dienste auf Disabled stellt. Problem ist, dass dies Sharepoint-Funktionen beeinflussen kann. Weiterhin kann WebDAV im Netzwerk geblockt werden (siehe Blocking WebDAV methods). Weitere Details sind dem CERT-Beitrag zu entnehmen.

Ähnliche Artikel:
Windows10: Neue UAC-Bypassing-Methode (fodhelper.exe)

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Windows: Sicherheitslücke über LNK-Codeausführung

  1. RedOne sagt:

    Gehe ich richtig in der Annahme das dieses Risiko für
    Windows-Systeme nicht besteht, die keinen SMB-Eintrag
    in der Windows-Registry haben?

    Oder lässt sich ein solche Verknüpfung in allen Windows-Systemen auslösen?

    • Günter Born sagt:

      Die Verknüpfung lässt sich (nach meinem bisherigen Verständnis) auf allen Windows-Systemen auslösen (ob es Dienstag einen Patch gibt, weiß ich nicht). Der oben beschriebene CERT-Ansatz besteht darin, den Zugriff auf Server im Web zu blocken, von denen Schadcode geladen werden kann.

      Ob es weitere Szenarien gibt, die die Lücke ausnutzen können, habe ich noch nicht durchdacht. Aber man könnte sich eine E-Mail mit Verknüpfung vorstellen, die per Script noch eine Schaddatei (LNK) auf dem Desktop werzeugt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert