UPDATE: Microsoft Sicherheitsupdate vom 2. August 2010 und Empfehlung für die Schulen der Stadt Frankfurt am Main

Für die Sicherheitslücke der Oberfläche des Windows Betriebssystems wurde von Microsoft ein Sicherheitsupdate (KB2286198) veröffentlicht, welches diese schließt.

• Wir empfehlen allen Frankfurter Schulen, dieses Update auf den Servern und nicht geschützten Systemen einzuspielen. Das Update kann über die Autoupdatefunktion des Betriebssystems geladen und installiert werden. Nähere Informationen und eine Möglichkeit, das Sicherheitsupdate manuell herunterzuladen, finden sich in dem Artikel Microsoft Security Bulletin MS10-046 - Critical auf der Microsoft TechNet Hompage.

• Schulen, die bereits den von Microsoft zur Verfügung gestellten Workaround "FixIt" umgesetzt haben, müssen diesen nach der Installation des Sicherheitsupdates rückgängig machen. Zum Entfernen des "FixIt" kann folgende von Microsoft zur Verfügung gestellte Anleitung verwendet werden: Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution.

Gerne stehen wir Ihnen an unserer Hotline zur Verfügung oder unterstützen Sie vor Ort dabei (natürlich auch in der Ferienzeit!).
Ihr fraLine-Team

Hilfreiche Links:

• heise News-Meldung vom 02.08.2010: Notfall-Patch schließt LNK-Lücke in Windows

Vorhergehende Meldung vom 23. Juli 2010: Kritische Sicherheitslücke in grafischer Oberfläche (Shell) von Microsoft Windows Betriebssystemen

Microsoft meldete einekritische Sicherheitslücke, die alle aktuellen Betriebssysteme (offiziell ab Windows XP) betrifft:

Unsere Empfehlungen für Frankfurter Schulen:
Für die Systeme ohne Hardwareschutz, Systeme die selten neu gestartet werden und Server empfehlen wir bis zur Veröffentlichung und Installation des Sicherheitsupdates von Microsoft:
1. keine USB-Medien wie z.B. USB-Sticks und Festplatten anzuschließen und
2. keinen Webbrowser wie z.B. Microsoft Internet Explorer oder Mozilla Firefox zu starten,
bis der Workaround von Microsoft umgesetzt wurde (vgl. Informationen zum Hintergrund unten).

Wir bitten alle IT-Beauftragten, ihre Schul-IT auf diese besonders gefährdeten Rechner zu prüfen und mit dem vorläufigen Workaround zu bearbeiten.

Zum Hintergrund:
Durch einen fehlerhaften Umgang mit Windows-Verknüpfungen (z.B. auf dem Desktop) ist es Angreifern möglich, schädlichen Code auszuführen.

Ausgenutzt werden kann die Sicherheitslücke durch befallene USB-Medien, über Netzwerkverbindungen sowie über Dokumenten, die Verknüpfungen unterstützen, wie z.B. Microsoft PowerPoint, Word und andere.

Nach einem erfolgreichen Angriff erhält der Angreifer Zugriff auf den Rechner und kann abhängig von den aktuellen Benutzerrechten Änderungen am System vornehmen oder lokale wie auch im Netzwerk abgelegte Daten ausspähen und sammeln.

Microsoft veröffentlichte dazu am 16.07.2010 die Microsoft-Sicherheitsempfehlung (2286198) - Sicherheitsanfälligkeit in Windows Shell kann Remotecodeausführung ermöglichen in ihrer TechNet. Zum jetzigen Zeitpunkt existiert noch kein Sicherheitspatch von Microsoft, der diese Sicherheitslücke dauerhaft behebt, doch daran wird laut Microsoft gearbeitet.

Ist die IT an Frankfurter Schulen betroffen?
An Frankfurter Schulen sind alle Rechner als besonders gefährdet einzustufen, mit denen a.) im Internet gesurft oder b.) USB-Wechselmedien (z.B. USB-Sticks oder USB-Festplatten) genutzt werden und dienicht über einen Hardwareschutz geschützt werden. Darüber hinaus sind auch Rechner in Lehrerzimmern betroffen, die ggf. nicht gut abgesichert sind und/oder selten neu gestartet werden.

Übergangslösung von Microsoft
Als Übergangslösung wurde von Microsoft ein Workaround veröffentlicht, der die Abschaltung der Anzeige von Bildern bzw. Icons bei Windows-Verknüpfungen vorsieht. Damit verschwinden alle Symbole in der Oberfläche des Betriebssystems (!) und werden durch ein weißes Icon ersetzt. Die Anleitung zur Umsetzung dieses Workarounds sowie eine bildliche Vorschau des Ergebnisses wurden auf der Support-Homepage von Microsoft veröffentlicht und können hier eingesehen werden: Microsoft Security Advisory: Vulnerability in Windows Shell could allow remote code execution. Wir weisen darauf hin, dass es sich um eine Übergangslösung handelt und gehen davon aus, dass (hoffentlich) in Kürze eine dauerhafte, komfortable Lösung von Microsoft entwickelt und verbreitet wird.

Hilfreiche Links:

• heise News-Meldung vom 17.07.2010: Microsoft bestätigt USB-Trojaner-Lücke
• heise News-Meldung vom 21.07.2010: LNK-Lücke: Microsoft-Fix sorgt für Icon-Chaos
• heise News-Meldung vom 23.07.2010: LNK-Lücke in Windows: Angriffswelle rollt an
• heise News-Meldung vom 27.07.2010: Antiviren-Hersteller bieten kostenlosen LNK-Schutz [Update]
• heise News-Meldung vom 30.07.2010: Microsoft will LNK-Lücke Montag schließen
• heise News-Meldung vom 02.08.2010: Notfall-Patch schließt LNK-Lücke in Windows