Screenshot

Exploit auf 16-Bit-Anwendungen

 

 

Update:
Wurde im Patchday vom 09.02.2010 mit MS10-015 behoben:
Microsoft Security Bulletin MS10-015 (977165)

Update:
Laut Heise Online vom 12.02.2010 führt das Update von Microsoft bei einigen Usern zu Bluescreen. Eine Lösung bietet Heise in 6 Schritten gleich mit an.
Microsoft empfiehlt stattdessen, das Microsoft Fix it Tool (650 KB) zum provisorischen Schließen der Lücke, zu benutzen - "Enable this fix" (50364), für Windows 2000 SP4, Windows XP SP2/SP3, Windows 2003 SP1/SP2 (32-/64-Bit), Windows Vista SP1, Windows 2008 SP2, und Windows 7.

13.02.2010: Mittlerweile soll aber bekannt sein, dass NUR mit Malware befallene Systeme betroffen sind. Somit wäre die "Heise Online" Meldung ein Fauxpas.

Update
Am 14.02.2010 bestätigst "Heise Online", dass das Zusammenwirken des Sicherheitspatches MS10-015 mit Schadsoftware der Grund ist.

15.02.2010: Nach Analysen von Symantec dürfte das Rootkit mit Backdoor Tidserv (TDSServ.sys) für viele der aktuell auftretenden Bluescreens verantwortlich sein, berichtet heute Heise Online.
Tidserv infiziert laut Symantec Low-Level-Kerneltreiber, wie den IDE-Treiber atapi.sys, um sich in das System einzuklinken und zu verstecken. Neben dem Treiber atapi.sys kann Tidserv auch anderen Treiber infiziert haben, etwa iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys.

Update:
02.03.2010 Microsoft stellt ein Tool namens Microsoft Fix it 50378 zur Verfügung, um zu Überprüfen, ob Ihr System für den Security Bulletin MS10-015 (977165) Patch tauglich ist. Wenn Ihr Computer möglicherweise nicht mit dem Sicherheitspatch kompatibel ist, empfiehlt dieses Tool auf dieser Webseite mehrere Malware/Viren-Entfernungstools an, wie "Microsoft Security Essentials", "Free PC Safety-Scan" für Windows XP, Windows Vista und Windows 7, "Microsoft Malicious Software Removal Tool" und "Security Updates" von Microsoft Update. Das Kernel Update Compatibility Assessment Tool (KB980966) macht genau das, was auch das Microsoft Fix it 50378 Tool macht.


Eine Lücke in Windows wurde bekannt, die die Betriebssysteme betrifft:

  • Windows NT 3.1
  • Windows XP (32-bit)
  • Windows Server 2003 (32-bit)
  • Windows Server 2008 (32-bit)
  • Windows Vista (32-bit)
  • Windows 7 (32-bit)

Ursache des Problems sind Fehler in der im Jahr 1993 eingeführten Virtual DOS Machine (VDM) zur Unterstützung von 16-Bit-Anwendungen (Real-Mode-Anwendungen für 8086). VDM beruht auf dem Virtual 8086 Mode (VM86) der 80386-Prozessoren und fängt unter anderem Hardware-Zugriffe wie BIOS-Aufrufe ab. Man hat in der Umsetzung einige Schwachstellen gefunden, durch die ein nicht-privilegiertes 16-Bit-Programm mit mehreren Tricks den zu jedem Prozess gehörenden Kernel-Stack manipulieren kann. Damit ist es möglich, eigenen Code oder Exploit mit Systemrechten auszuführen.

Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Am besten ist, man verwendet keine 16-Bit-Anwendungen mehr.

Lösung für die Gruppenrichtlinie:

Den Editor für die Gruppenrichtlinie starten.
Start - Ausführen - gpedit.msc - [OK]
Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Anwendungskompatibilität - Zugriff auf 16-Bit-Anwendungen verhindern aktivieren.



Lösung für die Registry:

Start - Ausführen - regedit - [OK]

Unter


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat



einen DWORD-Wert anlegen mit dem Namen VDMDisallowed und dem Wert (Daten) 1.
Sollte der Unterschlüssel AppCompat nicht vorhanden sein, muss er neu erstellt werden.



Download der Reg.-Datei: VDMDisallowed.reg (gezippt)
Downloaden, entpacken, VDMDisallowed.reg ausführen, fertig.


Screenshots

  • Screenshot

Bewertung

Besucherwertung (3 Stimmen)
6 / 6
(Höher ist besser)

Haben Sie Fragen dazu oder Probleme mit dem Tipp, dann melden Sie uns dies über das spezielle Kontaktformular.
Danke sagt das WinTotal-Team.