Infos zur LNK-Sicherheitlücke in Windows

WindowsDie aktuelle Sicherheitslücke in allen Windows-Versionen ab Windows XP nimmt Fahrt auf – zumindest in der Berichterstattung. Wie groß das Risiko tatsächlich ist, lässt sich noch immer nicht abschätzen. Hier die wichtigsten Fakten.

Die derzeit als meist LNK-Bug bezeichnete Sicherheitslücke ermöglicht es Angreifern, Schadcode auf beliebigen Windows-PCs auszuführen und diese so mit Viren zu identifizieren oder Trojaner, Rootkits, Keylogger usw. zu installieren. Den Namen hat sie von LNK-Dateien. Das sind Verknüpfungen, wie sie jeder auch selbst erstellen kann (z. B. via Kontextmenü). Solche Dateien enthalten unter anderem eine Angabe zu einem Symbol, mit dem diese Verknüpfung auf dem Desktop angezeigt werden soll. Diese Angabe lässt sich so manipulieren, dass die Windows-Shell stattdessen eingeschleusten Code ausführt.

Vielen Einfallwege sind möglich

In der Praxis ermöglicht dies, PCs z. B. über einen USB-Stick zu infizieren. Dabei reicht es, dass der Anwendern sich den Inhalt des USB-Sticks anzeigen lässt. Sowie die Windows Shell versucht, das Symbol für eine enthaltene LNK-Datei im Explorer anzuzeigen, wird der eingeschleuste Code ausgeführt. Aber nicht nur USB-Sticks sind mögliche Einfallswege. Im Prinzip funktioniert dies über jede Variante, Daten von außerhalb auf einen PC zu bringen: CDs/DVDs, Netzwerkfreigaben, Downloads von Dateien und/oder Dateiarchiven. Auch in Office-Dokumente können präparierte Verknüpfungen eingebettet werden.

Die ersten bekannt gewordenen Angriffe war sehr gezielt und professionell gemacht und eher in den Bereich Industriespionage einzuordnen. Mittlerweile verwenden aber weitere Trojaner diese Technik, was das Gefahrenpotenzial weiter erhöht. Außerdem besteht das Problem nicht nur bei LNK-Dateien. Wie Microsoft mittlerweile bekannt gab, sind zumindest auch PIF-Dateien gefährdet (auch wenn die in der Praxis eigentlich kaum noch Anwendung finden).

Schnelle Abhilfe leider nur mit Nebenwirkungen

Einen Patch für das Problem gibt es noch nicht und Microsoft hat auch noch keinen Termin dafür angekündigt. Vermutlich arbeitet man mit Hochdruck daran. Vorläufig empfiehlt Microsoft einen Workaround, um das Problem zumindest vermeiden zu können. Hierzu kann man einen Fix-It-Assistenten herunterladen. Dieser „deaktiviert“ LNK- und PIF-Dateien. In der Praxis sieht das allerdings so aus, dass sämtliche Verknüpfungen ein einheitliches Symbol bekommen und Anwendungen und Dokumente optisch nicht mehr unterscheidbar sind. Da von einer Komforteinbuße zu sprechen, scheint mir noch etwas untertrieben.

Im Moment bleibt nur, auf einen schnellen Patch von Microsoft zu hoffen. Wer ganz auf Nummer sicher gehen will, sollte das Fix-It installieren. Wer damit nicht leben kann und will, sollte vorläufig ganz besonders wachsam sein und das Herunterladen von Daten auf seinen PC (via Download, Netzwerk, E-Mail-Anhang usw.) auf das allernötigste und absolut zuverlässige Quellen beschränken.

2 Kommentare

  1. Wolfram Gieseke (Beitrag Autor)

    @leuenberger:
    Im Artikel findet sich ein Link auf genau das Fix-It, das Microsoft zu diesem Problem anbietet.
    Hier nochmal im Klartext: http://support.microsoft.com/kb/2286198/de
    Dort einfach bei Enable Workaround auf die Fix it-Schaltfläche klicken.

  2. leuenberger

    guten tag
    sind gute infos. aber was ist zum beispiel gemeint mit – sollte das fix-it installieren – welches, von wem? solche findet man viele. besten dank und freundliche grüsse
    k. leuenberger

Schreiben Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Schließen