Schon wieder wurde eine Sicherheitslücke entdeckt, die dank dem Internet Explorer ausgenutzt werden kann. Durch die Lücke kann beliebiger (Schad-)Code ausgeführt werden. Dieser Fehler dürfte vielen unter “F1 Exploit” bekannt sein.

Nutzbar wird dieser Bug durch die Verwendung von VB-Script, sowie der Windows Hilfedateien. Diese Hilfedateien sind von Haus aus unsicher und können zur Ausführung von Fremdcode verwendet werden.

Mit VB-Script ist es möglich eine MessageBox anzuzeigen:

MsgBox(prompt ,buttons ,title, helpfile, context)

Der helpfile Parameter gibt den Pfad zu einer infizierten .hlp Datei auf der Festplatte, SMB oder WebDAV an.

SMB:
Server Message Block (kurz SMB, teils auch als LAN-Manager- oder NetBIOS-Protokoll bekannt) ist ein Kommunikationsprotokoll für Datei-, Druck- und andere Serverdienste in Netzwerken.

WebDAV:
Web-based Distributed Authoring and Versioning ist ein offener Standard zur Bereitstellung von Dateien im Internet. Dabei können Benutzer auf ihre Daten wie auf eine Online-Festplatte zugreifen.

Der Feind liegt hier im WebDAV, da hier eine Hilfedatei online geladen werden kann. Doch warum heißt der Fehler “F1 Exploit”? Die Verwendung von externen Hilfedateien ist normalerweise stark beschränkt, wenn VB-Script im Internet Explorer ausgeführt wird – um diese Beschränkung zu umgehen, wird eine Benutzer-Aktion benötigt, eben der F1 Tastendruck.

Der Benutzer wird nun also solange von einer MessageBox aufgefordert die F1 Hilfetaste zu drücken um die externe Hilfe zu laden, die den Schadcode enthält.

Was kann man dagegen tun?

1. Niemals F1 bei einer MessageBox drücken. Oder…

2. ActiveScripting deaktivieren. Oder…

3. Sicherheitszone im IE auf “Hoch” stellen. Oder…

4.  Folgendes in der Kommandozeile ausführen:
cacls "%windir%\winhlp32.exe" /E /P everyone:N
Dies verhindert das Laden der Windows-Hilfe.

Welche Systeme sind betroffen?

Windows 2000, XP, Server 2003

Windows Vista, Seven, Server 2008 sind nicht betroffen