Microsoft raadt externe afweer shortcut-lek af

Door: Jasper Bakker | 28 juli 2010 12:07

Apps & Software

Securityleveranciers bieden gratis eigen bescherming voor het shortcut-lek in Windows. Microsofts workaround verbergt iconen, deze tools doen dat niet. Toch raadt Microsoft ze af.

De Windows-producent houdt vast aan zijn beleid dat het security-tools van derden voor bugs in zijn producten niet steunt. “We adviseren dat klanten de workaround toepassen die is aangedragen in Security Advisory 2286198”, meldt group manager Jerry Bryant van Microsofts security-responsteam aan Computerworld.

Iconen verdwenen

Die workaround schakelt de weergave van iconen bij snelkoppelingen geheel uit. Daardoor zit de pc-gebruiker opgescheept met veel witte iconen, op het bureaublad maar ook in de taakbalk en het Start-menu. Deze rigoreuze maatregel beschermt klanten volgens Bryant wel tegen alle bekende aanvalsvectoren voor dit beveiligingsgat.

Securityleverancier Sophos stelt dat zijn gratis tool gebruikers ook beschermt. De Windows Shortcut Exploit Protection Tool vervangt namelijk het Windows-component voor de weergave van iconen, waarin het eigenlijke lek zit. Die iconen kunnen op een usb-stick staan, maar ook worden weergegeven via een website die de gebruiker dan bezoekt.

Het vervangende component van Sophos onderschept snelkoppelingen en kijkt of die het lek in de Windows-code willen aanroepen om daarna uitvoerbare code (.exe of een .dll) te draaien. Indien niet, dan worden de iconen gewoon getoond. Indien wel, dan wordt dat geblokkeerd, waarbij de gebruiker ook een melding daarvan krijgt.

‘Erg onpraktisch’

Naast Sophos biedt ook G Data een dergelijke oplossing, eveneens gratis. “Microsoft heeft onmiddellijk gereageerd en een oplossing (hotfix) geboden, die het probleem weliswaar oplost, maar die ervoor zorgt dat alle snelkoppelingen hun iconen verliezen. Dit is erg onpraktisch”, stelt de leverancier.

De tool van G Data werkt ook op zichzelf, dus draait onafhankelijk van het reeds geïnstalleerde beveiligingspakket. De LNK Checker blokkeert malafide snelkoppelingen en geeft de gebruiker een waarschuwing. De producent geeft echter aan dat dubbelklikken van zo’n gevaarlijk bestand toch leidt tot uitvoering ervan. De tool blokkeert dus alleen de automatische uitvoering.

Toch niet volledig

De tool van Sophos beschermt momenteel alleen tegen aanvallen via snelkoppelingen als .lnk-bestand, niet de van MS-Dos afkomstige .pif (program information file). G Data maakt geheel geen melding van .pif. Microsofts complete uitschakeling van iconenweergave dekt beide vormen van snelkoppelingen af.

Zowel Sophos als G Data adviseren Windows-gebruikers om hun oplossing te deïnstalleren wanneer Microsoft eenmaal met een eigen patch is gekomen. De leverancier heeft nog niet bekend gemaakt wanneer dat zal zijn. De aankomende reguliere patchronde is op 10 augustus.

Van 2000 tot preview 7 SP1

Het lek is aanwezig in alle Windows-versies vanaf Windows 2000, zowel in de 32- als de 64-bit uitvoeringen. Ook het huidige Windows 7 en de preview voor het aankomende eerste service pack (SP1) daarvoor.

G-Data merkt nog op dat zijn fix ook werkt op de sinds kort niet meer door Microsoft ondersteunde versies 2000 en XP SP2. Zodra Microsoft met een patch komt, zal die niet automatisch gelden voor die oudere Windows-versies. De tool van Sophos draait niet op 2000.

Sophos demonstreert het shortcut-lek op Windows 7:

[youtube]1UxN7WJFTVg[/youtube]

Bron: Webwereld.nl