Microsoft Windows .lnk (= snelkoppeling) kwetsbaarheid

Han · 30 juli 2010, 10:43:02

Normaal schrijven we op PCN niet zo vaak over beveiligingslekken maar dit lek wordt inmiddels actief misbruikt door malware makers en Microsoft heeft nog geen definitieve oplossing ervoor.
Voor welk van de tijdelijke oplossingen je ook kiest, neem dit probleem wel even serieus want dat is het!

Microsoft Windows .lnk (= snelkoppeling) kwetsbaarheid
Microsoft heeft een beveiligingsadvies uitgegeven waarin het waarschuwt voor een ernstig nieuw lek in Windows. Het lek kan worden misbruikt om willekeurige programma's op je computer uit te voeren, waaronder virussen. De volgende besturingssystemen bevatten de kwetsbaarheid: Microsoft Windows XP, Windows Vista, Windows 7, Windows Server 2003 en Windows Server 2008.

Hier meer info erover : http://www.waarschuwingsdienst.nl/ID/WD-2010-065

Zoals je hebt kunnen lezen op de link van waarschuwingsdienst.nl heeft Microsoft een tijdelijke workaround bedacht waarmee het probleem eventjes op te lossen is. Nadeel is dat je geen plaatjes meer ziet op je snelkoppelingen wat ik onprettig vind. De firma Sophos (een gerenommerd bedrijf op de anti-virus markt voor bedrijven) heeft ook een tijdelijke oplossing op hun site gezet die voor iedereen te downloaden en te gebruiken is. Hun gratis Windows Shortcut Exploit Protection Tool vervangt namelijk het Windows-component voor de weergave van iconen, waarin het eigenlijke lek zit. Die iconen kunnen op een usb-stick staan, maar ook worden weergegeven via een website die de gebruiker dan bezoekt.
Het vervangende component van Sophos onderschept snelkoppelingen en kijkt of die het lek in de Windows-code willen aanroepen om daarna uitvoerbare code (.exe of een .dll) te draaien. Indien niet, dan worden de iconen gewoon getoond. Indien wel, dan wordt dat geblokkeerd, waarbij de gebruiker ook een melding daarvan krijgt.

Microsoft raad het gebruik van de sophos tool af. Waarom doen ze dat? Geen idee. Misschien beledigd dat een ander bedrijf een betere tijdelijke workaround heeft? Geen idee. Info daarover.

Voor de niet engels sprekenden/lezenden onder ons die de Sophos tool ervoor willen installeren:
Op de site van Sophos staat bovenin een blauw vlakje met "download now - block the windows shortcut exploit" erin. Daar kun je het 2,37mb grote Sophos programmaatje wat dit probleem tijdelijk aanpakt downloaden. Na downloaden even installeren en het is klaar. Bij een kwaadaardiige snelkoppeling krijg je dan een waarschuwing te zien. Is er een windows update voor dit probleem voorhanden, deinstalleer de tool dan gewoon even via configuratiescherm/software en installeer dan daarna de update die Microsoft ervoor gemaakt heeft. Die update is er nu nog niet en komt er w.s. pas op 10 augustus op MS patchdag. Dat duurt gewoon nog te lang.

Voor de niet engels sprekenden/lezenden onder ons die voor de tijdelijke Microsoft oplossing gaan:
Ga naar de beveiligings advies site van Microsoft. Scroll iets omlaag en klik onder Enable workaround op "Fix It" plaatje.
Is er een permanente update voorhanden ga dan weer naar deze site en klik onder Disable workaround op het "Fix It" plaatje.
Na het toepassen van deze tijdelijke workaround heeft geen een snelkoppeling op je PC meer een plaatje. Die komen pas terug als je de workaround ongedaan maaakt.

Han · 30 juli 2010, 11:10:52

Ik heb de Sophos tool wel geinstalleerd en weet nu dat er niets kan gebeuren. Zodra Microsoft met een permanente oplossing komt hoef ik alleen die sophos tool even te deinstalleren en de windows update van Microsoft erop te zetten. Ik vind het niet acceptabel dat ik geen plaatjes meer zie op m'n snelkoppelingen omdat Microsoft te lui lijkt om rap met een oplossing voor dit ernstige probleem te komen.

Helen · 30 juli 2010, 11:53:35

Tool van Sophos staat er bij mij ook op nu en ik zal het zo op de andere pc installeren. Voorkomen is beter dan genezen.

Han · 30 juli 2010, 11:59:57

Precies, dat vonden wij ook. De malware die ronddwarrelt verandert de plek waar snelkoppelingen naartoe verwijzen.
Er zijn al malware versies die snelkoppelingen van online banking aanpassen. Dat wil je niet.

Helen · 30 juli 2010, 13:05:27

Nee, dat zeker niet!

marloes · 30 juli 2010, 13:32:14

heb het ook geinstalleerd

Format Arie · 30 juli 2010, 16:42:25

Die van Sophos ook maar gedownload en geinstalleerd. Snap alleen niet dat ie bij software staat met al grootte maar 257 Kb.

Josette · 30 juli 2010, 18:05:08

Ook gedownload en geïnstalleerd.
Ook 257 kb Arie.

Bedankt Han.

Han · 30 juli 2010, 19:57:35

Ik baseerde mij hierop:

Dat is ook wat ik hier op harddisk heb staan.
Ik gebruik WinXP. Misschien wordt er voor Win7 een andere versie gedownload.

Josette · 31 juli 2010, 06:40:44

Ik ben gaan kijken, het installatie bestandje is: 2430 kb.

Als ik op eigenschappen klik: 2,37 MB (2.490.368 bytes).

Han · 31 juli 2010, 13:46:29

Okido, dan klopt het toch.

Han · 01 augustus 2010, 12:05:40

Microsoft heeft eieren voor zijn geld gekozen en brengt maandagavond a.s. een noodpatch uit voor dit beveiligingslek. Ze wachten dus toch maar niet tot 10 augustus ermee

Dan voordat je windows update doet eerst even via configuratiescher/software de Sophos tool deinstalleren.

Josette · 02 augustus 2010, 06:18:26

Zal er proberen aan te denken.

Han · 02 augustus 2010, 11:24:14

Vanwaar die sad-gezicht smilie? Is zo lastig niet toch?
Als je automatische updates downloaden en installeren aan hebt staan dan zet je die tijdelijk even op "waarschuwen als er updates zijn".

Josette · 02 augustus 2010, 11:39:40

Ja, maar ikke met mijn kort termijngeheugen kapot,

Han · 02 augustus 2010, 12:31:53

Gewoon nu "automatische updates" even iets minder automatisch zetten

Dan hoef je niks te onthouden!

Josette · 02 augustus 2010, 17:36:06

Just, dat doen we, dank je.

Han · 02 augustus 2010, 19:30:54

De betreffende Windows Update die het probleem verhelpt is nu beschikbaar en heet: KB2286198

Josette · 03 augustus 2010, 05:56:46

Bedankt ik ga eraan beginnen.

Josette · 03 augustus 2010, 06:13:08

Gelukt, bedankt alweer Han!
Mijn lapjes weer in orde.