Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neu entdeckten Sicherheitslücke in Windows. Betroffen sind die Versionen XP, Vista, 7, Server 2003 und Server 2008. F-Secure hatte allerdings schon vor zwei Tagen in einem spezifischen Kontext auf die Lücke hingewiesen, die im Rahmen eines Angriffs auf Siemens-Systeme in Indien und dem Iran ausgenutzt wird, aber die Vorgehensweise des Exploits nicht ausführlich beschrieben.
Ein Fehler bei der Verarbeitung von Dateiverknüpfungen in der Windows-Shell ermöglicht Angreifern das Einschleusen und Ausführen von Schadcode. Dazu genügt beispielsweise das Öffnen eines präparierten USB-Sticks oder Verzeichnisses mit einer manipulierten .LNK-Datei im Windows Explorer.
Microsoft weist in einer Sicherheitsmeldung darauf hin, dass Angreifer den Schadcode auch in bestimmten Dokumenten, etwa Office-Dateien, einbetten könnten. Das Advisory mit der Nummer 2286198 beschreibt auch mehrere Workarounds, wie sich Nutzer bis zum Erscheinen eines Patches durch Eingriffe in die Windows Registry schützen können. Ein bereitgestelltes Fix-it-Tool nimmt die notwendigen Änderungen in der Registrierungsdatei automatisch vor. Allerdings zeigen das Schnellstart- und Startmenü danach nur noch Standardsymbole für alle Programme an, worunter die Bedienbarkeit leidet.
Bei den Angriffen, die sich laut BSI zur Zeit im Unternehmensumfeld beobachten lassen, wird ein Trojaner namens Stuxnet über mobile Datenträger wie USB-Sticks ins System geschleust. Dort installiert er zwei Schadprogramme: einerseits die eigentliche Schadkomponente zum Ausspähen von Daten, andererseits ein so genanntes Rootkit zum Verschleiern der Infektion. Dies geschieht ohne Zutun des Nutzers und sogar, wenn die Autorun-Funktion in Windows, die Datenträger wie USB-Sticks automatisch ausliest, vollständig deaktiviert ist.
Öffnet der Nutzer ein Verzeichnis mit der Malware, sucht diese nach der Installation einer bestimmten Siemens-Software (WinCC oder Step 7), die in verschiedenen Industriezweigen im Bereich der Prozessteuerung eingesetzt wird. Nach bisherigen Erkenntnissen des BSI gelingt es dem Schadprogramm auf diesem Weg, auf Datenbanken zuzugreifen und dort möglicherweise Daten auszulesen.
Wann Microsoft einen Fix für die Schwachstelle veröffentlichen wird, ist noch unklar. Der nächste offizielle Patchday ist der 10. August.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…