Symantec hat eine Sicherheitslücke in der Windows-Komponente „Hilfe und Support“ entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auf einem fremden Rechner auszuführen. Dabei nutzt der Angreifer die Tatsache aus, dass Links in „Hilfe und Support“ im Gegensatz zu Links in einem Browser keine Rückfragen stellt, ob Code ausgeführt werden soll.
Für Links innerhalb von „Hilfe und Support“ verwendet Windows URLs, die mit „hcp://“ beginnen. Einen solchen Link kann ein Angreifer allerdings auf einer Webseite anbringen. Klickt ein Anwender auf diesen Link, so können in Windows vorhandene ActiveX-Controls genutzt werden, um Hilfedateien, beispielsweise „C:WINDOWSPCHealthHelpCtrSystemsysinfosysinfomain.htm“, gegen bösartige Versionen auszutauschen.
Die ausgetauschten Hilfe-Dateien lassen sich wiederum dazu verwenden, weitere Skripts von der Website des Angreifers auszuführen. So laden Benutzer unbemerkt Malware herunter.
Symantec hat ein YouTube-Video bereitgestellt, das zeigt, wie einfach es für einen Angreifer ist, einen solchen Angriff auszuführen. Dabei ist zu sehen, dass hcp-Links auch dann ActiveX-Controls ausführen, wenn sie nicht als „safe for scripting“ gekennzeichnet sind.
In der YouTube-Demo führt Symantec nur den Windows-Taschenrechner aus. Ein Cyberkrimineller denkt sicher an andere Programme. (Foto: Symantec)
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…