Die kritische LNK-Lücke in Windows ist nach wie vor ungepatcht und ruft zunehmend Kriminelle auf den Plan: Inzwischen haben mindestens zwei weitere Schädlinge die Schwachstelle adoptiert. Die Dunkelziffer dürfte deutlich höher sein. Während der erste LNK-Trojaner Stuxnet noch nach dem Ergebnis professioneller Industriespionage aussieht, sind die neuen Würmer bei der Wahl ihrer Opfer nicht wählerisch.

Eset hat den Schädling Win32/TrojanDownloader.Chymine.A in freier Wildbahn entdeckt, der Kontakt mit einem US-Server aufnimmt und von dort den Keylogger Win32/Spy.Agent.NSO nachlädt. Außerdem soll nun auch der Wurm Win32/Autorun.VB.RP die LNK-Lücke als adäquaten Verbreitungsweg für sich entdeckt haben. Dabei wird der Schädling sogar selbst aktiv und produziert neue verseuchte LNK-Dateien zum Zwecke der raschen Fortpflanzung.

Dabei ist der volle Umfang des Problems noch längst nicht überschaubar. Klar ist, dass alle Windows-Versionen seit XP betroffen sind. In den letzten Tagen hat Microsoft außerdem die Information nachgeliefert, dass man auch in Office-Dokumente präparierte Verknüpfungen einbetten und zur Ausführung von Schadcode missbrauchen kann. Und nicht nur LNK-Dateien sind verwundbar: Laut dem aktualisiertem Advisory geht von PIF-Dateien die gleiche Gefahr aus. Einen Weg, die Lücke auch via E-Mail auszunutzen, will Core Security gefunden haben. Details nannte das Sicherheitsunternehmen jedoch nicht.

Auch das BSI warnt mittlerweile vor der Bedrohung: Bis die Lücke gepatcht ist, solle man die im Microsoft Security Advisory beschriebenen Schritte umsetzen. In der Tat ist das Fix It von Microsoft die einfachste Methode, einen Rechner schnell vor den drohenden Angriffen abzusichern. Allerdings muss man dabei Komforteinbußen in Kauf nehmen, denn Windows zeigt danach alle Verknüpfungen nur noch mit einem einheitlichen Icon an.

Im Übrigen hat Microsoft die offizielle Dokumentation des LNK-Dateiformats ("[MS-SHLLINK]: Shell Link (.LNK) Binary File Format") kommentarlos vom Server entfernt. Böse Zungen spotten, das sei wegen der Beschreibung der Sicherheit des Formats auf Seite 48 geschehen. (heise/rei)