Seit gestern ist ein Proof-of-Concept-Exploit im Internet aufgetaucht, der die ungepatchte Lücke im Windows-Betriebssystem ausnutzt. Da auch der Quellcode bereits verbreitet wird, ist mit einer Ausnutzung bereits in den nächsten Stunden oder Tagen zu rechnen.
Wenn die Windows-Shell versucht, ein Icon einer manipulierten LNK-Datei (einer Verknüpfung) zu laden, sendet der PoC-Exploit die Meldung "SUCKM3 FROM EXPLORER.EXE MOTH4FUCKA #@!" an den Windows-Debugger. Statt dieser harmlosen Aktion ist es dank der Verfügbarkeit des Quelltextes jetzt auch möglich, beliebigen Programmcode im Kontext des aktuell angemeldeten auszuführen. Dazu muss das Opfer die Datei nicht einmal öffnen. Ein Betrachten des beinhaltenden Ordners genügt.
Darüber hinaus muss sich die Datei auch nicht auf dem lokalen Rechner befinden. Das Öffnen einer Ordnerfreigabe genügt. Über diesen Weg wird sich der zukünfitige Schädling wohl auch, vor Allem in Firmennetzwerken, verbreiten.
Nach der Veröffentlichung des PoC-Exploits wächst der Druck auf Betriebssystemhersteller Microsoft, die Sicherheitslücke schleunigst zu schließen. Verwundbar sind alle Windows-Versionen seit XP.
Microsoft empfiehlt die Anzeige von Icons für LNK-Dateien durch Editieren des Registry-Wertes
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler
zu deaktivieren.
