Riskante Dateien in WindowsXP reissen Sicherheitslücke auf

Supernature

Und jetzt?
Teammitglied
Mit WindowsXP hat Microsoft eine neue Möglichkeit zur Oberflächengestaltung von Anwendungen eingeführt: Die "Manifest-Dateien". Mit diesen Dateien, welche XML-Befehle enthalten, lässt sich jedem Programm das XP-typische Aussehen verpassen.
Aber diese Dateien können noch mehr: Sie können nämlich auch den Start von Programmen verhindern und sogar das komplette System lahmlegen - und das ist sicher nicht im Sinne des Erfinders.

Sicherheitslücken in Windows sind ja nichts Neues mehr und schrecken heutzutage kaum noch jemanden auf. Aber diese Geschichte ist derart simpel, dass sie förmlich eine Einladung für Hobby-Hacker darstellt.

Das ganze Ausmass der Katastrophe findet Ihr hier
 
Zuletzt bearbeitet:
Zuerst mal ein großes Dankeschön für die Infos!

2 Fragen in diesem Zusammenhang:
1.Ist es also so, daß das SP1 zu WinXP dieses Problem nicht löst?
2.Wird die Ramdisk immer - für das Proggy von Silverserver - benötigt (habe den Hinweis nicht ganz so richtig verstanden ...)? Oder nur für die Installation?

MfG C*!
 
@Claro*
Zu deiner Frage Nr.1 : Wann und ob überhaupt MS dieses Problem löst steht leider noch in den Sternen.

Frage Nr.2 : Die RamDisk wird einmalig Installiert, dort werden die Vergleichsdateien ausgelagert.
Alles was in der RamDisk gespeichert wird ist nach einem Neustart unwiederuflich gelöscht.
 
@SilverSurfer99

Rechtherzlich DANKE sage fuer diese grossartige arbeit.

nun haben sich meine bedenken doch bestaetigt in bezug auf XP.
ich habe mir naemlich einen neuen rechner gekauft und als erstes XP nach
kommpletter sicherung von der platte geschmissen und ME raufgespielt.
ich warte mit XP solange, bis alle bedenken vom tisch sind und es ein SR gibt,
was die gesamte persoehnliche sicherheit gewaerleistet.

microsoft hat ja auch schon reagiert:

Microsoft stoppt
Windows-Entwicklung
Sicherheit geht vor
Bill Gates hat ein Machtwort gesprochen. Die 7000 Programmierer sollen im Februar die Entwicklung aller Windows-Betriebssysteme ruhen lassen. Alle Betreibssysteme sollen auf Sicherheits-Probleme überprüft werden.

ausfuehrliches zu diesem Thema bei http://www.pcwelt.de/news/software/21397/

mfg wuschel
 
Erstmal Danke für das Tool, sehr gut!!

Zwei kurze Fragen:

1. Ich habe nach Benutzung des Tools keine manifest Files in meinem Backup Folder, obwohl die Suche ca. 12 Dateien im System ergibt. Liegt das daran, daß ich keine Designs benutze?

2. Reicht es auch, den Designserviece zu deaktivieren, um die Sicherheitslücke zu schließen?

Nochmal Danke für Eure Mühen!
 
Die Design-Dienste zu deaktivieren bringt nichts.
Warum die Dateien nicht kopiert werden, ist mir auf Anhieb schleierhaft. Ich hoffe SilverSurfer schaut nachher noch rein.
Vielleicht kannst Du mal posten auf welchem Laufwerk Windows liegt und wo das Backup-Verzeichnis liegt?
 
Wenn keine Dateien ins Sicherungsverzeichnis geschrieben werden, wird auch der Sicherheits-Systemabschluss blockiert, zB. beim Schreibversuch auf CDROM.

Die Sicherungskopien werden mit den gleichen Attributen kopiertwie die Originale, so dass die WindowShell.Manifest ohne Umstellen der Anzeigeoptionen "unsichtbar bleibt". Auf meinem eher normalen PC befinden sich 16 Windows-Manifest's und 5 Nero-Manifest: Die Zahl "12" beim Anfrager deutet auf Irritation wegen nicht angezeigter Dateien, zum Umstellen einen beliebigen Ordner öffen - Extras - Ordneroptionen - Ansicht - bei 'Geschützte Systemdateien ausblenden' das Häkchen entfernen.
 
@Brummelchen zu "PS war jemand schneller ;) " Das ist positiv!, zeigt es doch, dass sich -hoffentlich immer mehr- Leute Gedanken um Sicherheit machen. Ob die Sicherheits-Wende bei BG ernsthaft ist und wie schnell sie kommt, wird sich erst noch erweisen müssen. Was lustig bleibt, weil die technische KotrollLösung mit Windows-Boardmitteln möglich wurde.

Mehr als 800 Zugriffe in 20 Stunden zeigt, dass trotz HOCHERKLÄRUNGSBEDÜRFTIGER Materie das Thema Ernst genommen wird - DIESE HÜRDE hat Supi mit Bravour gelöst, es ist schließlich für alle nur 'Nebenberuf'. Dafür dass es eine Teamlösung ist, wurde mein Nick (im Nachhinein gesehen, die technische Lösung hatte ja Vorrang) ein bischen oft zitiert.

Um mögliche 'Überraschungen' durch 'Abweichungen' in Grenzen zu halten, empfiehlt sich ein KontrollLauf unmittelbar nach Updates/Neuinstallationen.

Für die Profis: Die RamDisk ist nur notwendig, um ein zyklisches Xcopy zu vermeiden, also bei zwei oder mehr Partitionen prinzipiell entbehrlich. Allerdings muss Windiff.exe auch mitspielen, und da habe ich tatsächlich eine nicht dokumentierte Zusatzfunktion gefunden. Wenn das klappen würde (erster Test erfolgreich), würde die KontrollZeit auf EINE Sekunde schrumpfen. Hier werdet ihr es als erste erfahren.

Gruß SilverSurfer99
 
NACHGELEGT.

1. Hier der 'Sicherheits-Systemabschluss.cmd' MIT RAMDisk oder über eine zweite Plattenpartition. WER KANN MAL TESTEN und sein Ergebnis hier posten oder per PM senden?
2. Ein erster Testbericht liegt bereits vor:
"Obwohl das Script um 40 Prozent auf fast 0,008 MB angewachsen ist, funktioniert der KontrollLauf genauso langsam wie vorher!" Ach ja, so geht's mit der neuen KOMBI-Lösung, sofern eine weitere Partition vorhanden ist, die KEIN XP-SystemLaufwerk ist:

3. a) Zuerst ein BUG-chen beseitigen: Die WinDiff-Find-Nachrichten werden jetzt FIXED nach %SystemDrive%\Windows geschrieben, damit es nach einem Wechsel in Zeile 4 'set Sicherungs_Drive_Verz=.. zu keiner Namens-Abweichungsmeldung kommt.

ALLE bisherigen ANWENDER müssen daher EINMALIG die Datei %SystemDrive%\Windows\WinDiff_Erg.ok LÖSCHEN, auch ALLE Anwender, die WEITER die RAMDisk nutzen, weil sonst eine Namens-Abweichungsmeldung NACH GGF. WECHSEL des RAMDisk-Laufwerksbuchstabens angezeigt wird.

b) Anhang 'Sicherheits-Systemabschluss.zip' nach '..\Dokumente und Einstellungen\All Users\Desktop' entZIPpen und den Eintrag in Zeile 4 'set Sicherungs_Drive_Verz=... erneuern. Mehr ist für RAMDisk-Anwender nicht zu beachten.

c) Jetzt die EinSekunden-Platten-Kontroll-Lösung [statt 10 Sekunden, jedoch NUR, sofern eine weitere Partition vorhanden ist, die KEIN XP-SystemLaufwerk ist]:
Mit rechter Maustaste anklicken - Bearbeiten - in Zeile 6 'set Si-Drv=C:' eintragen, sofern in Zeile 4 'set Sicherungs_DRive_Verz=C:\.... eingetragen ist, sonst anderen Laufwerksbuchstaben eintragen.
Dann läuft alles OHNE RAMDisk in einer Sekunde ab - recht angenehm als sofortiger KontrollLauf nach Installationen, Downloads, Updates usw. Ferner sind Abweichungsmeldungen einfacher interpretierbar.

d) (Unausweichliche) Anwenderfrage "Warum nicht gleich so?" Nun, die Plattenlösung kommt wohl nur für 20 Prozent der Anwender infrage, und es gab Befürchtungen, dass der Manifest-RiesenBug KURZFRISTIG ausgenutzt würde, also EILE tat NOT. Jetzt wo der Sachhintergrund weitläufig bekannt wird, können Anwender anderen Anwendern im Ernstfall weiterhelfen.

Damit ist alles gesagt. Mit großem Dank an Supernature für seine Konsequenz zum Öffentlichmachen, an die uneigennützigen Tester des Boards und auch an Thomas. Inzwischen war ja zu lesen, dass Billy ab 02/2002 siebentausend Frauen und Männer für mehr Sicherheit abstellen will -kein Kommentar.

Die LösungsTools sind aus Windows-OSen mit Ausnahme der Tastatur-Eingaberoutine - die wurde mit einem Freeware-Programm von 266 Bytes aus 07/1985 gelöst - waren das damals noch sparsame Zeiten.

Grüße
SilverSurfer99

TECHNISCHER HINWEIS: Die identische Lösung mit zusätzlicher Anzahl-Anzeige der überprüften Manifest-Dateien gibt es auf Seite 2/Beitrag 25.01. 00:13. Vorteil: Ist schon mal ein Hinweis, wenn die Anzahl sich nach Updates verändert hat.
 

Anhänge

  • sicherheits-systemabschluss.zip
    2,1 KB · Aufrufe: 386
Zuletzt bearbeitet:
...

Und jetzt gibt es die (ERSTE) Test-Bestätigung durch Jim Duggan, dass er die aktuelle CMD-Version nicht mehr missen möchte, läuft es jetzt doch zeitlich WIE ein MS-Systemabschluss. Muss ich gleich meiner Frau erzählen, denn die mosert seit Tagen "Ich denke, du bist endlich fertig, und in der Regenrinne liegen immer noch Eis und Schnee.." Wenn wir die Frauen nicht hätten, würden wir (vielleicht) glatt vergessen, dass es auch noch ein reales Leben gibt.
 
EMPÖRUNG!!!

Danke, absolut saubere Arbeit Boys, ich verfolge eure Topics schon länger. Im ZDNet-Forum gibt es zu diesem XP-Bug lebhaftes Echo, ich möchte euch meine morgige frauenkämpferische Antwort nicht vorenthalten (habe heute keine Lust mehr dort zu posten). Und bevor jemand Otto S. bemüht - nein ich bin nicht die ins Internet entwichene Alice Schwarzer.

"@Disk: Sicher gibt es noch -zig andere Risiken, und der Marktführer ist von Angriffen besonders bedroht, DESWEGEN muss er für die Sicherheit auch MEHR TUN.

Aber wenn die Macher bei www.supernature-forum.de (Tutorials) sauber recherchiert haben, dann hat es von seriösen Internetseiten Hinweise auf diese MS-RiesenSauerei schon ZWEI MONATE VOR dem offiziellen Erscheinen des Flagschiff-Betriebssystems gegeben, und trotzdem wurde von einer World-Company nichts getan!

Wieso sträubst du dich, eine Kontroll-Lösung auszutesten, die nichts an XP verbiegt, nur maximal 5-10 Minuten Installationszeit verschlingt und mit dem neuesten dort verbreiteten Sicherheits-Systemabschluss (bei zwei oder mehr Partitionen) nur noch wenige Sekunden zusätzlich benötigt?

Langsam bekomme ich den Eindruck, du bist der siebentausendste Teil der neuen MS-'SicherheitsOffensive' und schredderst solche Warn-Beiträge vorsätzlich!!! Seit ihr euch wirklich sicher, die PC-Zeitschriften mit genügend großen Anzeige-Aufträgen geködert zu haben?? Sicherheit ist nicht alles, aber ohne Sicherheit ist ALLES NICHTS!

Schnell 17 Millionen Lizenzen verkaufen und dann RiesenBugs kleinreden - wo kommen wir da hin? Und XP-PCs sind ja schließlich auch mal an der Konstruktion von Kinderwagen, Autos und Raketen-Zieleinrichtungen beteiligt. Man(n) sieht, mir läuft die Galle über, oder sind es wieder die Tage?.. Nichts für ungut."
 
hi silversurfer

habe mit erfolg die ramdisk installiert und die ersten tests gemacht. wie bereits im board einmal angeführt, scheinen auch bei mir im anglegten sicherungsordner keine dateien auf. die überprüfung war auch bis zur installation von nero, ohne fehlerergebnis verlaufen. ab da kommen die fehlermeldungen. obwohl in jedem eintrag only in z:\ steht und auch sonst keine augenscheinlichen fehler zu erkennen sind, wird die überprüfung abgebrochen. jetzt sind die dateien auch auf der ramdisk sichtbar. sicherungsordner ist bis auf die wintiff_erg datei leer. wie ist das weitere vorgehen?

mfg akim
 
XP-Wahnsinn

hai---das ist wirklich irre wenn man das so alles liest-und ich war so gespannt auf das neue "Windows" (damals)-
aber hätte wissen müssen das wie NT/98SE)-und MULTIERROR (ME)- wie es kürzlich ein Kumpel von mir betitelt hat auch XP in die selbe Kerbe schlägt und es voller Bugs daher kommt es ist zum heulen-das die burschen nicht in der Lage sind mal was zu kreieren das einem nicht den Schweiß aus allen Löchern treibt...bis mal man maL VERNÜNFTIG mit dem eigenen system über einen längeren Zeitraum arbeiten kann... da war ja 95 noch besser da wußte man gleich was es unterstüzt-und was nicht...ich kenne PI266 server die als spiele PC bei Bekannten von mir noch alle Haushaltsanforderungen wie OFFICE/Schularbeiten/Kochbücher erstellen ecetera usw.-ohne Murren machen selbst fotoarbeiten sind möglich da SCSI----aber der ME Rechner von mir und der 2. als Firewall bis ich die soweit hatte....:kotz

war ein Drama vom Netzwerk einrichten bis Scannerei-Photoprint usw -Grafiken :devil uiui das war action ohne Ende und wenn ich an den Media player denke ....aber das wißt ihr alle bestimmt....
am meisten ärgert mich die Zeit die man manchmal wirklich verplempert....

-----aber nixdestotrotz ein toller Bericht macht weiter ich bin konkret gespannt-----


greeetz Nick :angel
 
@akim
Zunächst mal Herzlich Willkommen:) :)

Versuche einmal folgendes.
Lösche den Sicherungsordner und starte dann das Tool von SilverSurfer.
Nun müsste ein neuer abgleich der *.manifests stattfinden.
Wenn es trotz allem nicht funktioniert, dann poste nochmal.
 
Aktuelles Resümee: Danke an Winny als engagierte Mitstreiterin, im Detail allerdings nicht wirklich hilfreich. Aber Nick's Bericht beeindruckt mich sehr. Aktuell hat Astro die beste Antwort gegeben.
Ansonsten mehrere hundert erfolgreiche Anwender, nur zwei (wahrscheinlich zwei MS-verursachte) schräge Fälle, aber lest die Lösungs-Ideen selbst:

JMX fragt: "Ich habe nach Benutzung des Tools keine manifest Files in meinem Backup Folder, obwohl die Suche ca. 12 Dateien im System ergibt. Liegt das daran, daß ich keine Designs benutze?"
GENAUER: 12 Dateien werden auf dem XP-Laufwerk angezeigt, aber keine Datei im Sicherungs-Ordner. Erklärungsversuch siehe Ziffer 3.
=====================
akim fragt: "Habe mit erfolg die ramdisk installiert und die ersten tests gemacht. wie bereits im board einmal angeführt, erscheinen auch bei mir im angelegten sicherungsordner keine dateien. die überprüfung war auch bis zur installation von nero ohne fehlerergebnis verlaufen. ab da kommen die fehlermeldungen.
Obwohl in jedem eintrag only in z:\ steht und auch sonst keine augenscheinlichen fehler zu erkennen sind, wird die überprüfung abgebrochen. jetzt sind die dateien auch auf der ramdisk sichtbar. sicherungsordner ist bis auf die windiff_erg datei leer. wie ist das weitere vorgehen?"
=====================

Ein großes Lob an diese beiden Member, dass sie ziemlich genau im Board schreiben, was aufgefallen ist. Ich versuche mal eine vorläufige Antwort, damit Vertrauen erhalten bleibt. Und morgen komme ich NACH der Arbeit (damit Frau und Hund auch übermorgen ernährt werden können) hoffentlich zum NachTesten!

1. Der Microsoft-Verzeichnis_Vergleichsbefehl WinDiff.exe berücksichtigt ALLE Dateien, auch wenn die Manifest-Dateien das Attribut System und/oder Hidden(unsichtbar) haben, prüft also immer vollständig.

2. Wie als erste Antwort zu JMX schon zu lesen war, würde ich ALLE Dateien auf SICHTBAR setzen.
Zum Umstellen einen beliebigen Ordner öffen - Extras - Ordneroptionen - Ansicht - bei 'Geschützte Systemdateien ausblenden' das Häkchen entfernen.

3. Das Erstellen der Sicherungskopien erfolgt mit dem XCOPY-Befehl, damit im Sicherungsordner die gleiche Verzeichnis-Struktur der Manifestdateien angelegt wird wie auf dem XP-Laufwerk. Die XCOPY-Anweisung in Sicherheits-Systemabschluss.cmd für 'Übertragen der Attribute System/Hidden' lautet "so wie auf dem Ursprungslaufwerk!" Nun drängt sich mir aber langsam der Verdacht auf, dass bei aktivierter Funktion (Häkchen GESETZT bei 'Geschützte Systemdateien ausblenden', siehe Ziffer 2) XCOPY auf dem Ziellaufwerk FEHLERHAFT ALLE *.Manifest unsichtbar macht - werde ich daher noch nachtesten.

4. Da der Vergleichsbefehl WinDiff.exe ALLE Anzeigeoptionen berücksichtigt, bedeutet das Durchstarten der Sicherheits-Systemabschluss.cmd bis zum Beenden-Menü, dass KEINE ABWEICHUNGEN zwischen den XP-Laufwerk-*.Manifest's und dem Sicherungsordner GEFUNDEN wurden, also ALLES OK. IST!

5. "Ab Installation von nero kommen die Abweichungsmeldungen 'only in z:\'. ... wie ist das weitere vorgehen?" So wie in Supernatures Hilfedatei beschrieben (im Sicherheits-Systemabschluss-Menü per TastenTipp startbar):
a) Wenn vorher ohne Abweichungs-Abbruch das BeendenMenü erschienen ist, dann war bisher alles OK.
b) Daher anschließend den Sicherungsordner wie in der Hilfedatei beschrieben löschen, der Ordner wird beim nächsten Sicherheits-Systemabschluss NEU angelegt einschließlich zB. der Nero-Sicherungskopien.

Kommentar1: XP-LizenzNutzer beschwert euch bei MS, warum die Integrität der Manifest-Dateien nicht systemseitig abgesichert wird, obwohl diese Sicherheitslücke schon seit Monate bei MS bekannt sein soll!
Kommentar2: Gerüchteweise verlautet, MS-Deutschland hätte sich auf dem Board schon umgeschaut, aber weder bei der Lösung noch bei der Lizenzfrage ein Haar in der Suppe entdeckt.

Gruß SilverSurfer99
 
Nachtests zu den Anfragen "Ich kann keine/nicht alle Manifest-Dateien auf der RAMDisk bzw. auf dem SicherungsVerzeichnis sehen"

1. Trotz Test-Umstellung auf 'Geschützte Systemdateien ausblenden' UND Deaktivieren von 'Inhalte von Systemordnern anzeigen' wurden bei mir ALLE Dateien zumindest angegraut angezeigt.
Nachtrag: Die Option 'Versteckte Dateien und Ordner ausblenden' habe ich erst nach dem Test gesehen, aber die in Ziffer 2 beschriebene Lösung beseitigt automatisch alle Anzeige-Irritationen.

2. Da MS-Windiff.exe ALLE *.Manifest's einschl. ALLER Anzeige-Attribut-Typen vergleicht, biete ich als Anhang eine gleichwertige Lösung - die Anzahl der verglichenen Dateien wird zusätzlich angezeigt zB. aktuell bei mir "-- 21 files listed" (16-mal aus Windows und 5-mal Nero): Damit dürfte dann alles klar sein. Diese Zählung schliesst auch die ' only in ..'-Dateien ein, dh. Manifest-Dateien, die entweder nur auf dem XP-Laufwerk oder nur im SicherungsVerzeichnis vorhanden sind. Insgesamt haben die beiden Anfragen somit zu einer verbesserten Gesamtdarstellung geführt, danke.

3. Die Zähl-Anzeige erfolgt sowohl für den OK-Fall [Beenden-Menü wird angezeigt, dh. die gefundenen XP-Manifest-Dateien sind mit den Manifest-Dateien im SicherungsVerzeichnis bytegenau identisch] als auch für den Abweichungsfall. Die Zähl-Anzeige ist als Default in Zeile 9 auf 'set LISTED=YES' eingestellt, dh. lässt sich mit NO deaktivieren. Die Tests wurden für alle Kombinationsmöglichkeiten mehrfach durchgeführt. Diese Version ersetzt die Kombilösung [RAMDisk oder über zweite Partition] vom 21.01.2002.

"Was denn, schon wieder eine neue Version und 'set Sicherungs_Drive_Verz=...' erneut anpassen?" Es ist erst die dritte Version [die zweite wurde nur 9-mal herunter geladen], und jede wurde durch Praxisanregungen besser. Trotzdem läuft die erste noch klaglos, was sicher nicht auf alle MS-Produkte zutrifft.
 

Anhänge

  • sicherheits-systemabschluss.zip
    2,2 KB · Aufrufe: 331
hi astrominus

ich habe mir jetzt die neue version von silversurfer downgeladen und installiert, ausgeführt. alle dateien sichtbar gemacht wie beschrieben, doch im sicherungsordner ist wieder außer der windiff_erg.txt keine andere datei zu sehen. in der ram disk sind zwei ordner mir programme und windows.
darin sind die manifests von windows und nero enthalten. davon 15 von windows 5 von nero.

was soll ich bitte jetzt löschen?

mfg akim
 
Hi Akim

Hattest Du, bevor Du die neue Version Installiert hast, den Sicherungsordner gelöscht ?
Wenn nicht, dann mach das einmal. Lösche auch sicherheitshalber einmal den gesammten Inhalt der RamDisk. Und starte dann das Tool neu. Dann müsste ein neuer abgleich stattfinden. Und Du müsstest Dich im OK status befinden.
Wenn es trotzdem nicht funktioniert, dann melde Dich wieder.
 
hi

was bitte soll ich im sicherheitsordner löschen, wenn er leer ist? die ramdisk lösche ich auch jedesmal.
ebenso die einzige sichtbare textdatei im sicherheitsordner.

mfg akim
 
Oben