Sicherheitslücke in Windows lnk Dateien

#1 Microsoft bestätigt USB-Trojaner-Lücke

Zitat

In einer Sicherheitsnotiz bestätigt Microsoft eine Sicherheitslücke bei der Anzeige von LNK-Dateien. Diese kann unter anderem ausgenutzt werden, um Windows-Systeme schon beim Öffnen eines USB-Sticks zu infizieren. Betroffen sind alle noch unterstützten Windows-Versionen seit Windows XP. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer eigenen Code ausführen lassen kann. Dies geschieht etwa dann, wenn der Anwender einen USB-Stick im Explorer öffnet. Das Microsoft Security Response Center warnt jedoch, dass sich die Lücke via WebDAV oder Netzwerkfreigaben auch übers Netz ausnutzen ließe.

So weit so gewöhnlich, interessant dabei:
http://www.heise.de/security/meldung/Windows-LNK-Luecke-Lage-spitzt-sich-zu-1042007.html

Zitat

Der prominenteste Schädling, der sich über die LNK-Lücke Zugriff zum System verschafft, ist derzeit noch Win32/Stuxnet. Dieser scheint in erster Linie der professionellen Industriespionage zu dienen; konkret hat er es auf das SCADA-Prozessleitsystem WinCC von Siemens abgesehen, das etwa in Kraftwerken zum Einsatz kommt. Im Schadcode sind sogar fest eingestellte Zugangsdaten enthalten, mit denen sich der Trojaner Zugriff auf die Microsoft-SQL-Datenbank des WinCC-Systems verschafft.

Und der Hammer:

Zitat

Siemens bestätigte gegenüber heise Security, dass "systeminterne Authentifizierung von WinCC zur Microsoft SQL-Datenbank [..] mit fest vorgegebenen Zugangsdaten" erfolgt. Ändern darf man diesen jedoch nicht, da sonst die Kommunikation zwischen WinCC und der Datenbank fehlschlage. Nach eigenen Aussagen prüfe man gerade eine "Verschärfung der Authentifizierung".

Die Malware bedient sich also Default Datenbank Passwörtern, aber Siemens empfiehlt diese lieber nicht zu ändern! Auch schön:

Zitat

Wer bislang davon ausging, signierte Dateien seien weitgehend vertrauenswürdig, sollte zukünftig zwei Mal hinschauen. Denn der Profi-Spion Stuxnet ist mit einem Realtek-Zertifikat signiert. Verisign hat mittlerweile gegenüber heise Security bestätigt, dass das Zertifikat tatsächlich Realtek gehört. Allerdings hat es Verisign widerrufen, sodass eine Überprüfung der Signatur eine Warnung erzeugen sollte. Der Antiviren-Hersteller Eset hat jedoch schon einen Nachfolger gesichtet: Ein artverwandter Trojaner jüngeren Datums ist mit enem noch gültigen Zertifikat des Chipherstellers JMicron Technology signiert.

Da werden gleich mehrere Sicherheits-Albträume auf einmal wahr, man stelle sich vor sowas verbreitet sich beispielsweise in einem Atomkraftwerk.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#2

Zitat

Da werden gleich mehrere Sicherheits-Albträume auf einmal wahr, man stelle sich vor sowas verbreitet sich beispielsweise in einem Atomkraftwerk.

Kein Grund zur Sorge, da läuft kein MS Windows sonderen Betriebsysteme wie zb. QnX - weil die auf Laufzeit von ca. 30 Jahren angewiesen sind - zumindestens von kanadischen Atomkraftwerken hab ich das gehört.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#3 GDATA hat ein offenbar brauchbares Tool entwickelt, welches die Gefahr bannt:
http://www.gdata.de/support/downloads/tools.html

So ganz tadellos funktioniert es aber auch nicht: Verknüpfungen zu Systemsteuerungselementen werden fälschlich als bösartig gekennzeichnet. Und auch ein Doppelklick auf eine infizierte Datei kann den Virus starten, deshalb sollte hier unbedingt noch ein guter Virenscanner laufen (aber das ist ja selbstverständlich).
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#4 Die Frage, die sich mir stellt:
Wie geht ihr mit dem Problem in der Firma um?

- MS´ Workaround ist quasi nicht machbar

Habt ihr da schon was installiert, z.B. das von GDATA?
Oder vertraut ihr da auf den Firmenvirenscanner?
Oder wartet ihr noch ab?
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#5 Tja, ich bin dazu übergegangen, unsere Kunden mit dem GDATA-Tool zu versorgen. Leider kann ich das nicht alles auf einmal machen, sondern muss die Kunden prinzipiell nach und nach abgrasen, da sich das Tool leider nicht Remote verteilen lässt. Ich hab aber noch gewisse Schwierigkeiten, das Tool ungetestet auf Terminalservern zu installieren. Kann gut gehen, kann aber auch weitere Probleme verursachen.

Ich hoffe, dass Microsoft da schnellstens einen Patch bereitstellt.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 Inzwischen stellt Microsoft einen entsprechenden Patch über das Windowsupdate bereit.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Interessanter Background:
Der digitale Erstschlag ist erfolgt (FAZ)

Zitat

Fieberhaft arbeiten die besten Sicherheitsexperten der Welt an der Analyse eines völlig neuartigen Computervirus. Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert.

Ich empfehle jedem sich den Artikel einmal selbst durchzulesen, der Autor ist Frank Rieger. Auf ein öffentliches Bekennerschreiben wird man natürlich lange warten können, aber es hört sich durchaus plausibel an was dort gemutmaßt wird. Wichtig auch der Hinweis von seinem Blog das in iranischen Atomkraftanlagen sicher ganz andere Sicherheitsstandards herrschen als hierzulande:

Zitat

After my FAZ piece came out, I got some messages and comments from people in the industry, telling me that nuclear power stations are generally run by better protected variants of S7, that fulfill a higher security level known as SIL-4.

That may very well be the case, but it does not say anything about the standards used in Iran. As far as I know (please correct me if I am wrong) at least some SIL-4 graded components are subject to even tighter export controls, are sold by fewer vendors and are much more expensive – all adding to the already bad procurement problem. If you run a nuclear program on a budget, you take what you can get to do the job, which in Irans case seem to be second-hand and older systems they just could find on the worlds markets, which most probably would be S7 300-series components.

__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#8 Atomkraftwerke nutzen nicht durchgängig QNX; ich vermute es geht um die Kritischen bereiche (Brennstäbe *G). Die nutzen AS/400 und Plan9. Retro? Ja! Aber es wird da genutzt!

Nen Ex- von Mir arbeitet in Jülich.

#9

Zitat

Atomkraftwerke nutzen nicht durchgängig QNX

Natürlich nicht, so meinte ich das auch nicht (evntl. hab ich mich falsch ausgedrückt).
Aber eben Plan 9 ist auch anerkannt, Windows irgendwo in einem AKW zu nutzen ist für mich jedoch grob fahrlässig,
aus guten Grund sollte man sich eher auf etablierte Systeme verlassen (wie eben auch IBM) die ganz strikt Restriktionen haben und die sollten auch ziemlig unabhängig laufen.

Wieso schafft es ein Virus/Malware bis ins AKW, wieso gibts da überhaupt was zum USB anschließen?! (wodurch sollte es sich sonst verbreiten Internet o. USB Zugriff)
Ich verstehe nicht wieso sowas überhaupt passieren kann, ich glaub' da sind wohl naps am Werk.

Aber eventuell gibs ja sogar jemand hier auf dem Bord der in einem AKW arbeitet, mich interessieren auch eher die Hintergründe warum wie etwas gemacht wird - ich kann mir auch nicht vorstellen das dort nur Ignoranz herscht, sicherlich bezieht sich das nur auf ganz bestimmte Länder.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#10

Zitat

Xeper postete
Wieso schafft es ein Virus/Malware bis ins AKW, wieso gibts da überhaupt was zum USB anschließen?! (wodurch sollte es sich sonst verbreiten Internet o. USB Zugriff)

Das ist ein lustiges Detail: Die PCs haben aus Sicherheitsgründen keinen Internetzugang aber angeblich wurde ein USB Stick angeschlossen um ein Lizenzschlüssel Update für irgendeine Software durchzuführen.
Ganz ohne Kontakt zur Außenwelt geht es eben nicht und USB wurde bisher von Microsoft und anderen immer als sicher erachtet.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#11

Zitat

Ganz ohne Kontakt zur Außenwelt geht es eben nicht und USB wurde bisher von Microsoft und anderen immer als sicher erachtet.

Seh ich anders, bei derartig autonomen Systemen kann man ja kurz ne Netzwerkverbindung durchschalten - intranet sollte ja auch sicher sein.
USB war noch nie großartig sicher, besonders net auf win und wird immer mehr und mehr missbraucht.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode