Microsoft warnt: Neue Windows-Lücke ermöglicht Verbreitung von Trojaner über USB-Stick

Grade erst vor einer Woche hat Microsoft seine Updates zum Juli-Patchday veröffentlicht, schon finden Antiviren-Experten die nächste Schwachstelle in Windows.

Wie der russische Antiviren-Hersteller VirusBlokAda mitteilte, gelingt es einem Trojaner mittels einer bisher unbekannten Sicherheitslücke, ein vollständig gepatchtes 32 Bit Windows-7-System zu infizieren. Betroffen von dem Problem sollen außerdem auch die anderen Windows-Betriebssysteme ab Windows XP sein.

Der untersuchte Schadcode, der diese Sicherheitslücke ausnutzt, verbreitet sich über USB-Sticks. Dafür verwendet er jedoch nicht die Autostart-Funktion von Windows über die Datei "autorun.inf", wie es bei bisherigen Schadprogrammen der Fall war. Stattdessen wird eine neue Sicherheitslücke dafür verwendet, die unabhängig von der Autostart-Funktion ist. Sie tritt bei der Verarbeitung von speziell präparierten LNK-Dateien auf. Ein Proof-of-Concept-Exploit und der zugehörige Quellcode zum Ausnutzen der Sicherheitslücke kursieren bereits im Internet.

Microsoft hat diese neue Sicherheitslücke zwar mittlerweile bestätigt und untersucht sie, kann aber bisher noch kein Update zum Schließen der Schwachstelle bereitstellen. Das Security Response Center des Unternehmens warnt sogar davor, dass die Lücke neben USB-Sticks auch via WebDAV oder Netzwerkfreigaben über das Netz ausgenutzt werden könnte.

Während Microsoft die Sicherheitslücke untersucht, haben Sicherheitsexperten den Trojaner genauer unter die Lupe genommen. Er installiert zwei Treiber mit Rootkit-Funktionen auf Ihrem Rechner, um seine Aktivitäten auf Ihrem System weitestgehend unsichtbar zu halten. Beide Treiber sollen mit gültigen Schlüsseln digital signiert sein, sodass Sie bei der Installation keine Warnmeldung erhalten. Vermutlich ist diese Signatur mithilfe von gestohlenen Code-Signing-Keys erstellt worden.

Der erste gesichtete Trojaner, der die "LNK-Sicherheitslücke" nutzte, wurde offensichtlich speziell für die Industriespionage entwickelt. Durch das Bekanntwerden der Sicherheitslücke und die bereits veröffentlichten Exploits droht nun allerdings eine flächendeckende Gefahr für Windows-Nutzer. Schon beim berühmten Conficker-Wurm hat sich im vergangenen Jahr gezeigt, dass die Verbreitung von Malware per USB-Stick sehr wirkungsvoll ist.

Es dürfte also nun zu einem Wettrennen zwischen Microsoft mit der Bereitstellung eines Updates und findigen Angreifern kommen, die über die Schwachstelle einen neuen Wurm für die Massen verbreiten wollen. Seien Sie bei der Nutzung fremder USB-Sticks daher vorsichtig und nutzen Sie am besten nur vertrauenswürdige Datenspeicher.

Als Workaround empfiehlt Microsoft, eine Änderung am Registry-Wert "HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler" mit dem Registrierungseditor (regedit.exe) vorzunehmen, um die Anzeige von icons für LNK-Dateien abzuschalten.

Dafür exportieren Sie den Registrierungsschlüssel über die rechte Maustaste und den Menüpunkt "Exportieren" in eine ".reg"-Datei. Diese benötigen Sie, um die Änderungen später per Doppelklick rückgängig zu machen.

Um die Ausführung der präparierten LNK-Dateien zu verhindern, klicken Sie nun doppelt auf den Eintrag "(Standard)" im rechten Fenster, löschen die Zeichenkette im Feld "Wert" und bestätigen dies mit "OK".

Um auch Angriffe via WebDAV zu vermeiden, können Sie den Dienst "WebClient" in der Sienseverwaltung (Services.msc) abschalten, indem Sie ihn deaktivieren.
Sobald ein Update verfügbar ist, machen Sie dann beide Schritte wieder rückgängig und spielen das Update ein.