Angreifer nutzen 0-Day-Lücke im Windows-Hilfecenter

In der letzten Woche hat der Sicherheitsforscher Tavis Ormandy ausführliche Informationen über eine bis dahin nicht bekannte Sicherheitslücke im Hilfecenter von Windows XP und Server 2003 veröffentlicht. Inzwischen sind auch die ersten Angriffe im Web aufgetaucht, die diese Lücke ausnutzen, um Malware einzuschleusen.

Donato Ferrante meldet im Blog des Antivirusherstellers Sophos, es handele sich um präparierte Web-Seiten auf kompromittierten Websites. Beim Aufruf einer solchen Seite mit einem anfälligen Rechner wird ohne weiteres Zutun des Besuchers ein Trojanisches Pferd eingeschleust - eine so genannte Drive-by Infektion. Der als "Troj/Drop-FS" bezeichnete Schädling legt eine Reihe schädlicher Dateien auf dem PC ab, unter anderem im Verzeichnis C:\Programme\Gemeinsame Dateien\ComObject.

Microsoft hat seine Sicherheitsmitteilung 2219475 aktualisiert und bestätigt "begrenzte, gezielte Angriffe", die den von Ormandy veröffentlichten Beispiel-Code benutzen sollen. Windows Server 2003 sei nicht von diesen Angriffen betroffen. Microsoft beobachte die Situation aktiv und arbeite an einer Lösung.

Bis dahin empfiehlt Microsoft die im Artikel KB2219475 der Microsoft Knowledge Base bereit gestellte Fix-it-Lösung als Workaround zu nutzen. Sie entfernt die Verknüpfung des Hilfe- und Supportcenters mit dem HCP-Protokoll, wodurch das Laden von Dateien aus dem Internet verhindert wird.

Tavis Ormandy rechtfertigt seine von vielen Sicherheitsfachleuten scharf kritisierte Veröffentlichung der Details dieser Schwachstelle damit, dass er nach Kontaktaufnahme mit Microsoft den Eindruck gehabt hätte, seine Hinweise würden nicht ernst genommen.