6 DriveLock und das Windows Sicherheitsproblem mit LNK Dateien CenterTools Software GmbH 2010
Copyright Die in diesen Unterlagen enthaltenen Angaben und Daten, einschließlich URLs und anderen Verweisen auf Internetwebsites, können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Personen und Ereignisse sind frei erfunden. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Personen oder Ereignissen ist rein zufällig. Die Verantwortung für die Beachtung aller geltenden Urheberrechte liegt allein beim Benutzer. Unabhängig von der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne ausdrückliche schriftliche Erlaubnis der CenterTools Software GmbH kein Teil dieser Unterlagen für irgendwelche Zwecke vervielfältigt oder übertragen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln, elektronisch oder mechanisch, dies geschieht. Es ist möglich, dass CenterTools Software GmbH Rechte an Patenten bzw. angemeldeten Patenten, an Marken, Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von CenterTools Software GmbH eingeräumt. 2010 CenterTools Software GmbH. Alle Rechte vorbehalten. Weitere in diesem Dokument aufgeführte tatsächliche Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein. 2 Version 6.0
Inhalt 1 EINLEITUNG... 4 2 LNK DATEIEN SPERREN... 5 2.1 LNK DATEIEN SPERREN... 5 2.2 DATEIHEADER VON LNK DATEIEN... 6 2.3 ZUSAMMENFASSUNG... 7 3 Version 6.0
1 Einleitung In einer Sicherheitsnotiz bestätigt Microsoft eine Sicherheitslücke bei der Anzeige von LNK- Dateien. Diese kann unter anderem ausgenutzt werden, um Windows-Systeme schon beim Öffnen eines USB-Sticks zu infizieren. Betroffen sind derzeit alle unterstützten Windows Betriebssysteme, also Windows XP bis hin zu Windows 7 und Windows Server 2008 R2. Der Fehler tritt auf, wenn die Windows Shell versucht, das Icon einer LNK-Datei zu lesen. Dabei überprüft sie einen Parameter nicht ausreichend, sodass ein Angreifer beliebigen Code ausführen lassen kann. Es reicht also schon aus, einen USB Stick mit eigentlich harmlosen Verknüpfungen einzustecken, und den Inhalt im Windows Explorer anzuzeigen. Sie müssen kein Programm starten, um von der Lücke betroffen zu sein. Dabei kann beliebiger Code ausgeführt werden. Im schlimmsten Fall bemerken Sie es gar nicht, wie ein Trojaner installiert wird. Weitere Informationen finden Sie hier: http://www.centertools.de/linkclick.aspx?fileticket=1pq2cv930ac%3d&tabid=69&language=de-de http://www.heise.de/security/meldung/microsoft-bestaetigt-usb-trojaner-luecke-1039915.html Wie können Sie sich trotzdem schützen? Mit DriveLock. 4 Version 6.0
2 LNK Dateien sperren 2.1 LNK Dateien sperren Mit DriveLock können Sie auf beliebige Wechseldatenträger mit einer Dateifiltervorlage den Zugriff auf LNK Dateien sperren. Die Benutzer können dann, abhängig von den jeweiligen Benutzer Berechtigungen, auf alle Inhalte eines Wechseldatenträgers (z.b. USB Sticks) zugreifen, außer auf LNK Dateien. Schon der Windows Explorer könnte die betroffenen Dateitypen nicht lesen, weshalb die Lücke in Windows für Sie keine Gefahr mehr darstellt. 1) Erstellen Sie eine neu Dateifiltervorlage (Laufwerke Dateifilter-Vorlagen). Hier definieren Sie sowohl im Lese- als auch im Schreibfilter die Option Definierte Endung nicht erlauben und wählen LNK. Wenn Sie bereits mit Dateifilter Vorlagen arbeiten, können Sie dies natürlich auch um die LNK Dateien erweitern. 2) Nun aktivieren Sie diese Dateifiltervorlage auf die gewünschten Laufwerke, entweder pro Whitelist Regel für bestimmte Laufwerke, oder, was zu empfehlen ist, für alle Laufwerke (Laufwerke Sperr-Einstellungen). 5 Version 6.0
2.2 Dateiheader von LNK Dateien Um die Schutz noch zu erhöhen, können Sie zusätzlich den Dateiheader von LNK Dateien editieren. Damit stellen Sie sicher, dass auch umbenannten Verknüpfungen nicht kopiert oder gelesen werden können. Unter Laufwerke Dateifilter-Vorlagen Datei-Typdefinition können Sie über das Kontextmenü eine neue Typdefinition anlegen. Editieren Sie die einzelnen Optionen wie abgebildet: 6 Version 6.0
Content: Hex bytes Hex bytes: 4c 00 00 00 01 14 02 00 00 00 00 00 c0 00 00 00 2.3 Zusammenfassung Mit den oben genannten Einstellungen können Sie einfach und zentral gesteuert sicherstellen, dass von LNK Dateien auf Wechseldatenträger für Sie keine Gefahr ausgeht. 7 Version 6.0