USB-Sticks, SD-Karten, externe Festplatten. All diese Datenträger können für eine neu entdeckte und durch gezielte Angriffe auch bereits ausgenutzte Sicherheitslücke verwendet werden.

Microsoft warnt in dem Security Advisory 2286198 vor einer gefährlichen Sicherheitslücke in Verbindung mit Wechseldatenträgern. Sogar Netzwerk- oder WebDAV-Freigaben können damit prinzipiell benutzt werden.

Betroffen ist dieses Mal nicht direkt die Autostartfunktion diverser Windows-Systeme, wie das noch bei früheren USB-Würmern war, sie hilft allerdings dabei. Die Verarbeitung von Verknüpfungen (.lnk) in Verbindung mit dem Nachladen der dazugehören Icons durch die Windows Shell ist das eigentliche Problem. Eine speziell präparierte Verknüpfung kann zur Ausführung von Schadcode verwendet werden. Selbst bei deaktiviertem Autostart, was bei Windows 7 normalerweise der Fall ist. Dann reicht es laut Microsoft, sich einfach im Explorer das Laufwerk im Wurzelverzeichnis anzuschauen.

Microsoft listet zahlreiche anfällige Windows-Versionen auf, angefangen bei Windows XP, über diverse Serverversionen bis hin zu Windows 7. Auch die jeweiligen 64-Bit-Versionen sind betroffen. Da Windows 2000 nicht mehr von Microsoft unterstützt wird, wurde dieses System nicht getestet. Es ist aber nicht unwahrscheinlich, dass das eingestellte System ebenfalls betroffen ist.

Die Sicherheitslücke wird bereits aktiv ausgenutzt. Die Verbreitung ist allerdings noch beschränkt und zudem sind es öfter gezielte Angriffe. Aufgrund der Verbreitungstechnik dürften die Schädlinge aber eine lange Lebenszeit haben. Sie werden also noch länger auf verseuchten USB-Sticks, externen Festplatten, SD-Karten sowie Kameras und MP3-Player, die sich als Wechselmedium melden, zu finden sein. Diese Datenträger waren auch vorher ein effizienter Verbreitungsweg für USB-Schädlinge und geraten noch heute mit älterer Schadsoftware in die Hände der Nutzer.

Um die Angriffe zu erschweren empfiehlt Microsoft die Einschränkung von Rechten. Außerdem sollten Autostartfunktionen in Betriebssystemen deaktiviert werden, in denen Autostart noch benutzt wird. Microsoft erklärt in dem Advisory zudem, wie Windows über die Registry daran gehindert werden kann, Bilder für Verknüpfungen darzustellen.

Das Problem löst es aber nicht. Microsoft untersucht die Angriffe noch, im Security Response Center nachzulesen ist.

Quelle: www.golem.de