Symantec hat eine Sicherheitslücke in der Windows-Komponente "Hilfe und Support" entdeckt, die es einem Angreifer ermöglicht, beliebigen Code auf einem fremden Rechner auszuführen. Dabei nutzt der Angreifer die Tatsache aus, dass Links in "Hilfe und Support" im Gegensatz zu Links in einem Browser keine Rückfragen stellt, ob Code ausgeführt werden soll.
Für Links innerhalb von "Hilfe und Support" verwendet Windows URLs, die mit "hcp://" beginnen. Einen solchen Link kann ein Angreifer allerdings auf einer Webseite anbringen. Klickt ein Anwender auf diesen Link, so können in Windows vorhandene ActiveX-Controls genutzt werden, um Hilfedateien, beispielsweise "C:\WINDOWS\PCHealth\HelpCtr\System\sysinfo\sysinfomain.htm", gegen bösartige Versionen auszutauschen.
Die ausgetauschten Hilfe-Dateien lassen sich wiederum dazu verwenden, weitere Skripts von der Website des Angreifers auszuführen. So laden Benutzer unbemerkt Malware herunter.
Symantec hat ein YouTube-Video bereitgestellt, das zeigt, wie einfach es für einen Angreifer ist, einen solchen Angriff auszuführen. Dabei ist zu sehen, dass hcp-Links auch dann ActiveX-Controls ausführen, wenn sie nicht als "safe for scripting" gekennzeichnet sind.
In der YouTube-Demo führt Symantec nur den Windows-Taschenrechner aus. Ein Cyberkrimineller denkt sicher an andere Programme. (Foto: Symantec)
