Das deutsche avast! Forum

[Auggie]

Wie heise online, und auch von Microsoft bestätigt, existiert eine Sicherheitslücke bei der Behandlung von lnk-Dateien.
Durch eine unzureichende Überprüfung der Parameter des Icon-Handlers beim Lesen des Icons der Datei lässt sich so beliebiger Code auf dem Rechner ausführen und bspw. ein PC schon beim Anstecken eines USB-Sticks infizieren.
Betroffen sind alle Windows-Versionen ab Windows XP aufwärts.
Die Angriffsmethode wurde bereits in der letzten Woche in Form eines sogen. Proof of Concept veröffentlicht, es ist also nur eine Frage der Zeit, bis der Exploit auf breiter Front auch auf privat genutzten PCs eingesetzt wird.
Quellen: http://www.heise.de/security/meldung/Tr ... 38281.html
http://www.heise.de/security/meldung/Mi ... 39915.html
http://www.heise.de/security/meldung/Ex ... 39997.html

[Avast-Homenutzer]

Soweit ich das ersehen kann werden von Avast zwei Varianten des dabei eingesetzten Stuxnet-Trojaners (Info unter http://www.virenschutz.info/beitrag-Kri ... -3513.html )
bereits mit dem Update vom 16.7.2010 - 100716-0 erkannt.

[Auggie]

Dir ist bekannt, das es sich hier um eine Sicherheitslücke handelt?
"Dein" Stuxnet Trojaner wird sich imho kaum auf einen privaten PC verirren, ist er doch eher darauf programmiert, WinCC-Systeme zu befallen.

Selbst wenn avast! diesen Schädling erkennen sollte, kann man hier kaum Entwarnung geben, ganz im Gegenteil.....so erwartet z.B. das Internet Storm Center eine breit angelegte Angriffswelle, und man kann davon ausgehen, das es sich dann um eine Vielzahl verschiedener Schädlinge handeln wird.
Auch der Workaround, den Microsoft empfiehlt, entschärft das Problem nicht wirklich, der ist imho auch nicht wirklich praxistauglich (allenfalls für einen Einzel-PC ohne Netzwerkanschluß).
Entwarnung kann man erst geben, wenn die Lücke geschlossen wurde, alles andere ist fahrlässig!
Als einzig gangbarer Workaround erscheint mir momentan nur folgender:
Absolute Skepsis gegenüber jeglicher Mail mit Anhang, die man nicht explizit angefordert hat (auch und gerade von angeblich bekannten Mailadressen) sowie, wenn möglich, Internet-Nutzung in einer Sandbox.
Auch wenn es unbequem zu sein scheint, sämtliche Autostarts von Wechseldatenträgern deaktivieren.
Und für Nutzer von Vista und Windows 7: Aktivieren der UAC auf der höchsten Stufe.

Anmerkung der Moderation: Dieses Forum dient der reinen Information über vorhandene Sicherheitslücken. Diskussionen darüber bitte an anderer Stelle führen.

[Auggie]

Wie heise online heute berichtet, sind inzwischen 2 weitere Schädlinge aufgetaucht, die sich die Lücke zunutze machen.
Da der Stuxnet-Trojaner allem Anschein nach eher auf Industriespionage ausgelegt war, gehen die neuen Schädlinge weniger wählerisch zu Werke; damit dürften jetzt auch verstärkt Privatanwender und kleine Mittelstandsunternehmen in den Focus geraten.
Es war zu befürchten, das es nicht bei Stuxnet bleiben würde, nachdem gerade die IT-Medien dankbar jede kleinste Lücke annehmen und das Thema so hoch kochen, das auch wirklich der letzte Cybergangster seine Schädlinge entsprechend anpasst.

Auch wenn mich bestimmt jetzt einige User teeren und federn, und der Workaround von Microsoft nicht wirklich praktikabel ist.....das ist der schnellste und einfachste Weg, sich gegen diese Lücke abzusichern, und, wo der Dienst nicht zwingend notwendig ist, Dekativieren des WebDAV-Clients in der Dienste-Konfiguration von Windows.
Selbst das BSI empfiehlt in seinem wöchentlichen Newsletter mittlerweile, den Workaround anzuwenden, so lang kein Patch zur Verfügung steht.

Quelle: http://www.heise.de/security/meldung/LN ... 44228.html

[Auggie]

Offensichtlich sind, lt. heise online, im Firmenumfeld die ersten Infektionen durch die Sicherheitslücke aufgetreten.
Der Workaround von Microsoft, ist nur suboptimal, d.h. nicht wirklich praktikabel.
Wie heise online berichtet, haben G-Data und Sophos jetzt getrennt ein Tool entwickelt, das einen eigenen Icon-Handler installiert und vor manipulierten Links warnt.
Tests von heise haben gezeigt, das bisher nur das Tool von G-Data zuverlässig funktioniert.
Beiden Tools gemeinsam ist, das sie nicht vor manipulierten Links z.B. in Zip-Archiven warnen, und schon auf der Festplatte liegende Dateien unberücksichtigt lassen. Beide Tools lassen sich unabhängig vom installierten AV-Programm nutzen.

Quelle: http://www.heise.de/security/meldung/An ... 46012.html

Ich halte die Lösung des G-Data-Tools für sehr praktibel, obwohl man eine gewisse Rate an False Positive beachten sollte.
Wer den G-Data LNK Checker installieren will, sollte unbedingt die Hinweise im angegebenen heise-Artikel sowie im Setup des Tools beachten.
Falls ich mal ein manipuliertes Exemplar erwische, werde ich hier über meine Erfahrungen mit dem G-Data-Tool berichten; ich hab es gerade selbst für den Fall der Fälle installiert.
Bitte gebt diese Info und den Link an Freunde und Bekannte weiter....wir können alle mithelfen, die Schäden dieser Lücke so gering wie möglich zu halten.

[Auggie]

Wie heise online gestern berichtet hat, will Microsoft am Montag einen außerplanmäßigen Patch veröffentlichen, der die Lücke schließt.
Wie die Updates am Patchday sollten das Update ab ca. 19:00 hiesiger Zeit über das Windows-Update verfügbar sein.

Quelle: http://www.heise.de/security/meldung/Mi ... 48783.html

[Auggie]

Das Update wird, wie angekündigt, seit gestern abend über das Windows-Update verteilt.
In Anbetracht des Zeitabstandes zum regulären Patchday (nächsten Dienstag) und auch in Anbetracht der Zeit seit Bekanntwerden der Lücke in der Öffentlichkeit ein, wie ich finde, sehr lobenswertes Verhalten.