DVB-Cube BETA <<< Das deutsche PC und DVB-Forum >>>
PC-Ecke => # Security Center => Thema gestartet von: SiLæncer am 28 Dezember, 2005, 11:24
-
Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll.
Bei einem Test der heise-Security-Redaktion mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.
Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.
Siehe dazu auch:
* New WMF 0-day exploit Blogeintrag von F-Secure
* Windows WMF 0-day exploit in the wild Meldung des Internet Storm Center
Quelle und Links : http://www.heise.de/security/news/meldung/67794
-
Der gestern gemeldete Zero-Day-Exploit für eine WMF-Lücke in Windows hat sich offenbar schnell verbreitet und ist auch bereits öffentlich verfügbar. So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" mit einem präparierten Link. Ein unbedachter Klick darauf öffnet eine Seite, die ein WMF-Bild nachlädt und je nach Konfiguration automatisch in der verknüpften Anwendung anzeigt. Dabei ist es zwar grundsätzlich egal, mit welchem Browser der Anwender die Seite ansurft. Der Internet Explorer öffnet aber in der Regel ein WMF-Bild ohne Nachfrage in der Bild- und Faxanzeige, was zur sofortigen Infektion führt. Andere Browser fragen erst nach, womit das Bild geöffnet werden soll -- das konkrete Verhalten hängt vom jeweiligen System ab.
Ursache der Sicherheitslücke ist ein Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird -- neben der Bild- und Faxanzeige auch vom Windows Explorer und Google Desktop. Im Windows Explorer genügt bereits die Voransicht eines präparierten Bildes, um den Schad-Code zu starten. Microsoft hat zu der Sicherheitslücke ein eigenes Advisory veröffentlicht, ein Patch ist aber noch nicht in Aussicht. Außer wenig hilfreichen Standardtipps (Firewall einschalten, Updates einspielen, Virenscanner installieren) schlagen die Redmonder vor, die verwundbare Bibliothek zu deregistrieren, damit die Anwendungen sie nicht mehr aufrufen können. Für das Deregistrieren der DLL sorgt in der Eingabeaufforderung (oder unter Ausführen) der Befehl:
regsvr32 -u %windir%\system32\shimgvw.dll
Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. Wann Microsoft ein Update zur Verfügung stellt, ist nicht bekannt. Sobald dies aber installiert ist, kann der Anwender die Bibliothek wieder registrieren:
regsvr32 %windir%\system32\shimgvw.dll
Leider erkennen aktuell noch nicht alle Virenscanner den Schad-Code zuverlässig, was auch daran liegen mag, dass schon diverse Mutationen des Originals im Umlauf sind. Auch das Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.
Siehe dazu auch:
* Update on Windows WMF 0-day (NEW) Meldung des Internet Storm Centers
* Be careful with WMF files Weblog von F-Secure
* Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution Fehlerreport von Microsoft
Quelle und Links : http://www.heise.de/security/news/meldung/67814
-
Bei mir (auf Win98SE) gibt's diese DLL nicht 8)
Kein Fax-Viewer installiert.
Allerdings erscheint mir das Ganze als ein Musterbeispiel, wie blauäugig man programmieren kann.
In einer Routine zur Anzeige eines selbst definierten Bildformats daraus Zugriffe auf's System zuzulassen ist m.e. nicht mehr als grobe Fahrlässigkeit einzustufen, sondern als bedingter Vorsatz oder komplette Ahnungslosigkeit / Pfusch ! ! !
Absoluter Murks.
-
Die WMF-Sicherheitslücke und deren Auswirkungen beschäftigt weiterhin Anwender und Sicherheitsspezialisten. Offenbar nutzen mittlerweile über tausend Web-Sites die Schwachstelle, um Ad- und Spyware zu verbreiten, über fünfzig verschiedene; präparierte WMF-Dateien sind dabei in Umlauf. Viele der WMF-Exploits installieren einen angeblichen Spyware-Spürhund, der regelmäßig Warnmeldungen produziert. Für die Entfernung der angeblich gefundenen Schädlinge soll man dann die Vollversion des Produktes erwerben.
Die Sicherheitspezialisten von WebSense wollen die Aktivitäten zu einer dubiosen Firma namens Exfol zurückverfolgt haben, die im Süd-Pazifik registriert ist. Websense dokumentiert die Aktivitäten auf einem infizierten System in einem Video. Wie man die Plagegeister tatsächlich wieder los wird, hängt wohl sehr stark vom Einzelfall ab; die besten Erfolgsaussichten dürften bewährte Anti-Spyware-Programme bieten.
Derzeit ist die Ursache der Lücke noch nicht restlos geklärt. Ein Advisory des US-CERT will einen Buffer Overflow als Ursache ausgemacht haben. Der Sicherheitsdienstleister Secunia beschreibt dagegen spezielle WMF-Eigenschaften, die der Exploit missbraucht. So bestehen WMF-Bilder nicht nur aus reinen Vektor- und Rasterdaten, sondern aus einer Serie von Befehlen an das Graphics Device Interface (GDI). Diese Befehle unterliegen dabei keinen Einschränkungen.
Unglücklicherweise verarbeitet die GDI aber auch Befehle (Escape-Funktionen) zur Interaktion von Bildern mit Systemressourcen. So stoppt die Escape-Funktion SETABORTPROC etwa einen Druckauftrag. Da die Escape-Funktionen der GDI vollen Zugriff auf das System haben und das WMF-Bild quasi Vollzugriff auf die GDI, kann ein manipuliertes Bild beliebigen Code in das System schleusen und starten. Im aktuellen Fall führt die Escape-Funktion aufgrund eines Verarbeitungsfehlers den in die präparierten Bilder eingebetteten Schad-Code direkt aus. Das spricht aber nicht gegen einen Buffer Overflow: immerhin schlägt auf Windows-Systemen mit XP SP2 und AMD64-Prozessor die Datenausführungsverhinderung (DEP) an und verhindert die Infektion des Systems.
Um PCs vor einer Infektion mit bösartigen WMF-Dateien zu schützen, suchen viele Antivirenprogramme per Heuristik nach SETABORTPROC-Sequenzen in Bildern. Dabei prüfen sie aber nicht, ob wirklich Schadcode vorhanden ist. Auf die gleiche Weise versuchen auch die Hersteller von Intrusion-Detection-Systemen ihre Netze zu schützen. Da SETABORTPROC aber eine dokumentierte Funktion ist, kann sie durchaus auch in harmlosen Bildern vorkommen.
Microsoft hat sein Advisory zu der Lücke aktualisiert und untersucht weiterhin, welche Anwendungen noch betroffen sein können. In Word-Dokumenten eingebettete Bilder stellen nach Meinung der Redmonder keine Bedrohung dar, bei der MSN-Desktop-Suche prüft man derzeit noch. Berichten zufolge soll auch IBMs Lotus Notes die verwundbare Bibliothek SHIMGVW.DLL benutzen -- sogar dann, wenn der Anwender diese deregistriert hat. Als Workaround empfehlen einige CERTs, an den Gateways alle Grafiktypen zu blocken. Das alleinige Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.
Bis Microsoft einen Patch bereitstellt, sollten Anwender und Administratoren auf PCs mit Windows XP und Server 2003 den Windows Picture and Fax Viewer (Shimgvw.dll) mit dem Kommandozeilenbefehl
regsvr32 -u %windir%\system32\shimgvw.dll
deaktivieren. Dies lässt sich nach dem Erscheinen und Einspielen eine Patches wieder rückgängig machen.
Siehe dazu auch:
* WMF-Exploit tarnt sich als Google-Grußkarte Meldung auf heise Securiy
* WMF-Bilder infizieren Windows-PCs Meldung auf heise Securiy
* Musings and More WMF Information Meldung des ISC
* Security Advisory (912840) von Microsoft
Quelle und Links : http://www.heise.de/security/news/meldung/67833
-
Die Hersteller von Antiviren-Software bemühen sich nach Kräften, die Verbreitung des WMF-Exploit einzudämmen und liefern Signaturen aus, die präparierte WMF-Bilder erkennen. Durch einen Fehler in der Grafik-Engine von Windows kann durch das Öffnen von WMF-Bildern fremder Code ausgeführt und beispielsweise Spyware installiert werden. Dazu genügt mit dem Internet Explorer das Öffnen einer Web-Seite, die derartig präparierte Bilder einbindet. Auch die Dateivorschau für eine bereits auf dem System befindliche Datei kann die Infektion auslösen.
Andreas Marx von AV-Test hat einen Kurztest mit 73 verschiedenen Exemplaren durchgeführt, die bereits im Internet verbreitet sind. Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und konnten eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert. Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft. Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei.
Wichtig ist es, den Viren-Scanner beziehungsweise -Wächter so einzustellen, dass er alle Dateien unabhängig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorläufig zu blockieren, auch wenn das natürlich keinen echten Schutz verspricht.
Siehe dazu auch:
* WMF-Exploit tarnt sich als Google-Grußkarte Meldung auf heise Security
* WMF-Bilder infizieren Windows-PCs Meldung auf heise Security
* Weitere Details zur WMF-Lücke auf heise Security
* Security Advisory (912840) von Microsoft
Quelle und Links : http://www.heise.de/security/news/meldung/67848
-
Neujahrsgrüße via E-Mail können eine böse Überraschung mit sich bringen: Die Antivirenexperten von F-Secure warnen vor "Happy New Year"-E-Mails, die als Anhang einen neuen WMF-Exploit mit sich bringen. Über einen Fehler in der Render-Engine von Windows wird beim Öffnen der als JPG-Bild getarnten Datei HappyNewYear.jpg eine Hintertür auf dem Rechner installiert. Das funktioniert, weil das proprietäre WMF-Format es gestattet, Funktionen zu registrieren und aufzurufen.
Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen womöglich nicht ansprechen. Auch von den bisherigen Exploit-Familien sind ausgefeiltere Versionen erschienen, die laut Internet Storm Center von Viren-Scannern noch nicht erkannt werden.
Die WMF-Exploits sind äußerst infektiös: Liegt die Datei einmal auf der Festplatte, genügt unter Umständen schon das Vorschaubild des Explorers, um die Schadroutine auszulösen. Auch Hintergrunddienste, die wie Google-Desktop automatisch Vorschaubilder produzieren, aktivieren sie. Des weiteren genügt es, mit dem Internet Explorer eine Web-Seite mit einem präparierten WMF-Bild zu öffnen, um sich Ärger einzuhandeln. Auch mit anderen Browsern ist eine Infektion möglich, wenn der Anwender das Öffnen der WMF-Datei bestätigt. F-Secure berichtet darüber hinaus über einen WMF-Wurm, der sich über den MSN Messenger verbreitet.
Microsoft hat das Problem zwar bestätigt, aber bisher noch keinen Patch herausgebracht. Der in dem Advisory vorgeschlagene Workaround, die verwundbare Bibliothek zu deaktivieren, schließt nicht alle Einfallstore. So können Programme die Bibliothek nach wie vor direkt laden oder die Bibliothek wieder registrieren. Trotz dieser Lücken ist die Schutzmaßnahme natürlich als erste Hilfe sinnvoll.
Microsoft bietet Kunden in den USA eine kostenlose 24-Stunden-Hotline zu WMF-Problemen an. Für Deutschland, Österreich und die Schweiz verweist der Konzern auf die ebenfalls kostenlose allgemeine Sicherheits-Hotline, die jedoch nur zu Bürozeiten erreichbar ist.
Weil ein offizieller Patch von Microsoft noch nicht absehbar ist, hat Ilfak Guilfanov, der Entwickler des Disassemblers IDA Pro, kurzerhand einen eigenen erstellt. Er klinkt sich in alle Prozesse ein, die die Bibliothek user32.dll laden und deaktiviert dann im Speicher den Exploit-Mechanismus. Dazu blockiert er Aufrufe der Escape-Funktion von gdi32.dll, die versuchen, den Parameter SETABORTPROC zu setzen. Damit funktioniert die Anzeige von WMF-Dateien weiterhin, die Exploits werden jedoch abgefangen. Das Internet Storm Center hat den Patch untersucht und bestätigt seine Wirksamkeit für Windows XP und 2000. Es stellt den Patch nach intensiver Analyse selbst zum Download bereit (MD5: 99b27206824d9f128af6aa1cc2ad05bc).
Siehe dazu auch:
* WMF-Bilder infizieren Windows-PCs auf heise Security
* WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
* Weitere Details zur WMF-Lücke auf heise Security
* WMF FAQ des Internet Storm Centers
* Security Advisory (912840) von Microsoft
Quelle und Links : http://www.heise.de/security/news/meldung/67866
-
Update:
Auf der Seite des Entwicklers findet sich bereits eine aktuellere Version, die eine mehrfache Installation verhindern und auch mit Windows 2000 SP4 funktionieren soll. Diese wurde allerdings noch nicht vom ISC begutachtet.
Quelle : www.heise.de
-
heise Security stellt auf dem c't-Browser- und -E-Mail-Check Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.
Diese Lücke nutzen bereits tausende von Web-Sites und diverse Würmer aus, um Windows-Systeme mit Spyware und Hintertüren zu kompromittieren. Die Browsercheck-Demo hingegen ist völlig harmlos und startet über eine spezielle Web-Seite nur den Windows-Taschenrechner. Beim Internet Explorer geschieht dies automatisch, bei Firefox & Co muss der Anwender zuvor noch das Öffnen der Datei bestätigen. Beim c't-E-Mail-Check können Sie sich eine als JPG getarnte WMF-Datei zusenden lassen, die beim Öffnen ebenfalls den Windows-Taschenrechner startet. Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu starten, genügt bereits die Verzeichnisansicht des Windows Explorers. Die Demo wurde unter Windows XP mit Service Pack 2 und allen Patches getestet.
Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt seine Wirksamkeit. Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.
Siehe dazu auch:
* Neujahrsgrüße nutzen WMF-Lücken auf heise Security
* WMF-Demo des c't-Browserchecks
* WMF-Testmail des c't-Emailchecks
Quelle und Links : http://www.heise.de/newsticker/meldung/67884
-
Software-Bausatz könnte viele Schadprogramme verursachen
Das Virenlabor von Panda Software berichtet, dass im Internet eine Bausatz-Software entdeckt wurde, um auf leichte Art das von Microsoft bislang nicht geschlossene WMF-Sicherheitsloch ausnutzen zu können. Daher befürchtet Panda Software schon bald eine Vielzahl von Schadprogrammen, Viren und Würmern, die sich das WMF-Sicherheitsleck in Windows zu Nutze machen.
Die kürzlich bekannt gewordene Sicherheitslücke in Windows 2000, XP und Windows Server 2003 lässt sich von Angreifern ausnutzen, indem diese ihren Opfern präparierte WMF-Bilddateien unterschieben. Mit der von Panda Software entdeckten Bausatz-Software wird es Angreifern besonders einfach gemacht, entsprechende Schadroutinen zu erstellen. Daher wird befürchtet, dass schon in Kürze eine Flut von Schadprogrammen durch das Internet schwappt, die allesamt die von Microsoft bislang nicht geschlossene WMF-Sicherheitslücke ausnutzen.
Microsoft rät derzeit als Notlösung vorerst nur dazu, das Anzeigen von WMF-Bildern ganz abzuschalten. Der IDA-Pro-Entwickler Ilfak Guilfanov bietet hingegen bereits einen Hotfix zum Download, der weiterhin alle WMF-Dateien anzeigt, ohne dass das Sicherheitsrisiko weiter bestehen soll. Dazu leitet Guilfanovs Software entsprechende API-Aufrufe um, so dass sich das Sicherheitsloch nicht mehr ausnutzen lässt.
Quelle und Links : http://www.golem.de/0601/42464.html
-
Der Redmonder Konzern hat für den Januar-Patchday am kommenden Dienstag, den 10.01.2006, ein Sicherheitsupdate angekündigt, das die Lücke in der shimgvw.dll beim Anzeigen präparierter WMF-Dateien schließen soll. Der Patch sei fertig entwickelt und werde derzeit in die verschiedenen Sprachversionen von Windows übersetzt und intensiv getestet, so das Unternehmen in einer Sicherheitsmeldung.
Wer solange nicht warten möchte, kann bis zum Erscheinen des Patches den vorläufigen Patch von Ilfak Guilfanov, dem Chefentwickler des Disassemblers IDA Pro, einspielen. Dieser blockt alle bisher bekannten Variationen der WMF-Exploits ab. Ob Ihr System verwundbar ist, können Sie mit dem c't-Browsercheck sowie dem c't-E-MailCheck überprüfen.
Das Update von Microsoft wird von Tag zu Tag dringlicher. Seit dem Bekanntwerden der Lücke am 28. Dezember vergangenen Jahres tauchten zahlreiche neue Varianten des Exploits auf vielen Webseiten und in diversen Spam-Mails auf. Nun hat Panda Software auch ein Werkzeug mit dem Namen WMFMaker entdeckt, das automatisch beliebigen (Schad-)Code so in WMF-Dateien einbetten kann, dass dieser über das in allen Windows-Versionen vorhandene Sicherheitsloch eingeschleust und ausgeführt werden kann.
Siehe dazu auch:
* Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution, Security Advisory von Microsoft
* Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check auf heise Security
* Neujahrsgrüße nutzen WMF-Lücken auf heise Security
* Virenschutz gegen WMF-Exploit auf heise Security
* Weitere Details zur WMF-Lücke auf heise Security
* WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
* WMF-Bilder infizieren Windows-PCs auf heise Security
Quelle und Links : http://www.heise.de/newsticker/meldung/67912
-
Der inoffizielle WMF-Patch von Ilfak Guilfanov ist offenbar sehr beliebt: Der Provider musste Guilfanovs Seite Hexblog aufgrund massiven Traffics vom Netz nehmen. Um die große Nachfrage trotzdem befriedigen zu können, hat er nun eine temporäre Seite aufgesetzt, auf der Download-Mirrors verlinkt sind. Dort ist inzwischen die vierte überarbeitete Version des Patches verfügbar; auch MSI-Installer zur Einrichtung des Patches etwa in Unternehmensnetzen stehen dort bereit.
In einem weiteren FAQ-Update des WMF-Security-Advisory rät Microsoft allerdings davon ab, Patches von Drittanbietern einzuspielen, da das Unternehmen keine Gewähr für deren korrekte Funktion übernehmen könne. Dass die eigenen Patches aus Redmond trotz intensiver Tests teilweise auch Probleme verursachen, erwähnt das Unternehmen in diesem Zusammenhang jedoch nicht.
In einigen Situationen scheint der Patch allerdings tatsächlich Probleme mit Druckern in Netzwerken zu bereiten. Es handelt sich dabei wahrscheinlich aber um schlampige Treiberprogrammierung bei dem betroffenen Samsung ML-1210 – einem Arbeitsplatz-GDI-Drucker, der eher nicht für Unternehmensnetze geeignet ist.
Siehe dazu auch:
* Mirror-Seite mit Download-Links für den inoffiziellen WMF-Patch
* Microsoft kündigt Patch für WMF-Lücke an auf heise Security
* Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check auf heise Security
* Neujahrsgrüße nutzen WMF-Lücken auf heise Security
* Virenschutz gegen WMF-Exploit auf heise Security
* Weitere Details zur WMF-Lücke auf heise Security
* WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
* WMF-Bilder infizieren Windows-PCs auf heise Security
Quelle und Links : http://www.heise.de/newsticker/meldung/67951
-
Noch Donnerstag Nacht will Microsoft den Patch für die WMF-Lücke in Windows bereit stellen. Man sei mit dem Testen früher als geplant fertig geworden und Kunden hätte auf eine frühestmögliche Veröffentlichung gedrängt. Der Begriff Notfall-Veröffentlichung taucht in der Ankündigung nicht auf – Microsoft geht nach wie vor davon aus, dass die Schwachstelle nur begrenzt ausgenutzt würde. Das sieht das Bundesamt für Sicherheit in der Informationstechnik (BSI) allerdings anders und warnt vor "Kriminelle[n] Attacken über die Schwachstelle in Windows". "Nach Erkenntnissen des BSI wird die kürzlich ausgemachte Sicherheitslücke im Microsoft Betriebssystem Windows mittlerweile aktiv zur Verbreitung von Schadsoftware genutzt." Über 200 verschiedene, bösartige WMF-Dateien seien bereits bekannt und täglich erschienen neue. Auch den Einsatz von Trojanischen Pferden, die Angriffe auf Zugangsdaten für Online-Banking ermöglichen, habe man bereits mehrfach registriert.
Auf alle Fälle ist ein schnellstmögliches Update aller betroffenen Systemen anzuraten. Dazu gehören Windows 2000, XP und 2003 Server. Windows 98 (SE) und ME werden nicht mehr versorgt, obwohl die verwundbare Bibliothek auch dort vorhanden ist, da Microsoft für die Altlasten nur noch als kritisch erachtete Lücken fixt. Diese Einstufung sei aber nicht erforderlich, da man dort kein kritisches Einfallstor gefunden habe. Ähnliches gilt für Nutzer von NT 4, für das Microsoft ebenfalls keinen Patch veröffentlicht.
Wer die Bibliothek für den Windows Picture and Fax Viewer (Shimgvw.dll) deregistriert hatte, kann sie anschließend über den Kommandozeilenbefehl
regsvr32 %windir%\system32\shimgvw.dll
wieder registrieren. Den inofiziellen Patch von Ilfak Guilfanov sollte man vor dem Eisnpielen des offiziellen Updates deinstallieren. Dies geht einfach in der Systemsteuerung unter Software. Auf dem c't-Browsercheck können Sie testen, ob die Sicherheitslücke beseitigt wurde.
Siehe dazu auch:
* Security Bulletin MS06-001 von Microsoft
* Demo zum WMF-Sicherheitsproblem des c't-Browserchecks
* Demo zum WMF-Sicherheitsproblem des c't-Emailchecks
* Microsoft kündigt Patch für WMF-Lücke an auf heise Security
* Neujahrsgrüße nutzen WMF-Lücken auf heise Security
* Virenschutz gegen WMF-Exploit auf heise Security
* Weitere Details zur WMF-Lücke auf heise Security
* WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
* WMF-Bilder infizieren Windows-PCs auf heise Security
Quelle und Links : http://www.heise.de/newsticker/meldung/68033
-
[Update]:
Der Patch ist per Windows Update und über Microsofts Security-Bulletin als Einzelpakete für Windows 2000 SP4, Windows XP SP1 und SP2, Windows XP Professional 64 Bit Edition, Windows Server 2003 und Server 2003 SP1, Windows Server 2003 und Server 2003 SP1 für Itanium und Windows Server 2003 x64 Edition bereits verfügbar.
Quelle : www.heise.de
-
Zumindest den Test auf heise security fängt Norton Antivirus auch in einer aktualisierten (4.1.2006) Version 2004 mit Standardeinstellungen hier verlässlich ab.
-
Nicht nur Windows-Anwender sollten aktuelle Patches einspielen, um sich vor Infektionen durch präparierte WMF-Bilder zu schützen. Auch Unix-Anwender sind von der Sicherheitslücke betroffen, sofern sie die unabhängige Windows-API-Implementierung WINE oder deren kommerzielle Ableger Cedega und Crossover Office einsetzen. So wurde in WINE die vollständige Meta-File-API nachprogrammiert, einschließlich SETABORTPROC. Die ermöglicht per Definition das Ausführen von im WMF-Bild enthaltenen Code, wenn das Rendern des Bildes fehlschlägt. Zwar haben die WINE-Entwickler damit eine sehr hohe Kompatibilität zu Windows erreicht, allerdings auch das potenzielle Sicherheitsrisiko mit aufgenommen.
Auf diese Weise kann auch ein Linux- oder BSD-Anwender sein System infizieren, wenn er mit Crossover Office ein Word-Dokument öffnet, das präparierte WMF-Bilder enthält. Auch im WINE-Ableger für Mac OS X Darwine dürfte der Fehler zu finden sein. Marcus Meissner hat bereits einen Patch für WINE entwickelt und ihn auf der WINE-Mailing-List veröffentlicht. Bis er in die Pakete der Linux-Distributoren und der Hersteller von Cedega und Crossover Office Eingang gefunden hat, werden allerdings noch ein paar Tage vergehen. Bis dahin sollten Anwender im Umgang mit Dokumenten höhere Vorsicht walten lassen.
Siehe dazu auch:
* WMF-Patch für WINE, Mailing von Marcus Meissner
* Microsoft veröffentlicht WMF-Patch vorab, Meldung von heise Security
Quelle und Links : http://www.heise.de/newsticker/meldung/68123
-
Zwei neue WMF-Exploits bringen WMF-verarbeitende Anwendungen zum Absturz, obwohl der Microsoft-Patch MS06-001 eingespielt wurde. Die jetzt aufgetauchten Demo-Bilder führen beispielsweise zum Absturz des Windows Explorer, wenn sie von ihm untersucht werden, etwa beim Löschversuch.
Bei den von Frank Ruder entdeckten Schwachstellen handelt es sich laut seiner Sicherheitsmeldung um Fehler in der Speicherverwaltung bei der Verarbeitung der manipulierten WMF-Dateien. Durch präparierte Bilder greift die GDI auf nicht alloziierte Speicherbereiche zu, was zu Zugriffsfehlern und in Folge zum Programmabsturz führt.
Wie schon bei der ersten WMF-Lücke handelt es sich hierbei nicht um klassische Pufferüberläufe. Vielmehr sind es Design-Fehler in dem 16 Jahre alten Format, die jetzt zu Problemen führen und deren Entdeckung durch Bösewichte nur eine Frage der Zeit war.
Bisher ist unklar, ob darüber auch eingeschleuster Code zur Ausführung kommen kann. Microsoft bestätigt die Abstürze und geht laut einem Eintrag im Security-Response-Center-Blog aber nicht davon aus, dass sich die Lücke zum Ausführen von Schadcode nutzen lässt; es handele sich vielmehr um ein Performance-Problem in Windows. Lediglich einige WMF-verarbeitende Anwendungen könnten sich unerwartet verabschieden.
Wie die Proof-of-Concept-Dateien jedoch belegen, lässt sich die Lücke zumindest zu einem Denial-of-Service gegen den Windows Explorer, also der zentralen Komponente für die Benutzerinteraktion einer Windows-Installation, missbrauchen. Eine auf dem Desktop abgelegte manipulierte WMF-Datei könnte so den Computer unbrauchbar machen, da der Explorer im Sekundentakt abstürzen würde. Die Taskleiste verschwindet, bis sich der Explorer neu gestartet hat, um daraufhin gleich wieder im digitalen Nirvana nach dem Rechten zu sehen; das Windows lässt sich nicht mehr benutzen.
Ruder empfiehlt in seiner Sicherheitsmeldung, wie zuvor schon bei der ersten WMF-Lücke die shimgvw.dll zu deregistrieren. Dazu muss an der Kommandozeile oder über "Ausführen" im Startmenü der Befehl
regsvr32 -u %windir%\system32\shimgvw.dll
vom Administrator ausgeführt werden.
Siehe dazu auch:
* Microsoft Windows GRE WMF Format Multiple Memory Overrun Vulnerabilities von Frank Ruder auf Full Disclosure
* PoC for the 2 new WMF vulnerabilities (DoS) von Andrey Bayora auf Full Disclosure
* Information on new WMF Posting im Microsoft Security Response Center Blog
* Microsoft veröffentlicht WMF-Patch vorab auf heise Security
* Demo zum älteren WMF-Sicherheitsproblem des c't-Browser-Checks
* Demo zum älteren WMF-Sicherheitsproblem des c't-E-Mail-Checks
Quelle und Links : http://www.heise.de/newsticker/meldung/68157
-
Steve Gibson, unter anderem Betreiber des Portscan-Dienstes Shields-Up, beschuldigt in einem Podcast Microsoft, die erst kürzlich geschlossene WMF-Lücke absichtlich als Hintertür in Windows eingebaut zu haben: "Das war kein Fehler. Das ist kein fehlerhafter Code. Das hat jemand in Windows eingebaut", erklärt er und spekuliert weiter: "Falls Microsoft eine Abkürzung benötigt, einen Weg, um Code auf Windows-Systemen auszuführen, die ihre Web-Seite besuchen, hatten sie diese Möglichkeit und dieser Code gab sie ihnen." Zentrales Element seiner Argumentation ist seine Beobachtung, die fragliche SetAbortProc-Funktion könne nur mit einer bestimmten, ungültigen Längenangabe überhaupt aktiv werden. Dies sei offensichtlich ein Schutzmechanismus, der verhindern solle, dass jemand zufällig über die Hintertür stolpere.
Gibson hat insofern Recht, dass es sich bei dem WMF-Sicherheitsproblem anders als bei den meisten Lücken nicht um einen Programmierfehler handelt, der sich ausnutzen lässt, sondern um eine absichtlich eingebaute Funktion. Sie stammt aus der Zeit, als Windows kooperatives Multitasking eine solche Callback-Funktion erforderte, beispielsweise um Druckjobs abzubrechen, erläutert Stephen Toulouse, Security Program Manager bei Microsoft in einem diesbezüglichen Blog-Eintrag. Dass sich diese Funktion nur mit einer falschen Längenangabe aufrufen ließe, sei allerdings falsch: Auch korrekte WMF-Dateien können laut Toulouse SetAbortProc-Funktionen aktivieren.
Allerdings wirft auch seine Erwiderung an einigen Stellen kein allzu gutes Licht auf Microsofts Sicherheitsbemühungen. So habe man die potenzielle Gefahr dieses Metafile-Records erkannt und einige Applikationen wie der Internet Explorer werteten diese deshalb nicht selbst aus. Wie eine solche erkannte und dann wohl hoffentlich auch dokumentierte Gefahr durch die intensiven Security Reviews rutschen konnte, die man unter anderem im Zuge der Erstellung von Service Pack 2 für Windows XP vorgenommen hat, erklärt Toulouse jedoch nicht.
Dafür erläutert er nochmals, warum Microsoft keinen Patch für Windows 98/SE bereitstellt, obwohl diese prinzipiell auch verwundbar sind. Die möglichen Einfallstore auf diesen Plattformen erforderten erhebliche Mitwirkung des Anwenders, was eine Einstufung als kritisches Problem nicht rechtfertige. Und nur für solche gäbe es noch Sicherheitspatches im Rahmen des Extended Support Lifecycles – und das auch nur noch bis Juni 2006. Wer gezwungen ist, weiterhin eines dieser Systeme einzusetzen kann sich nur mit Hilfe von Drittherstellern schützen. Beispielsweise bietet der Hersteller des Virenscanners NOD32 einen Patch an – allerdings ohne jegliche Gewähr.
Gibsons Backdoor-Spekulationen werden in der Security-Gemeinde jedenfalls nicht weiter ernst genommen. Dass sich Microsoft den exklusiven Zugriff auf eine hypothetische Hintertür nur durch eine falsche Längenangabe sichern würde, ist wenig wahrscheinlich. Dave Aitel von der Sicherheitsfirma Immunity geht davon aus, dass dies über richtige Krypto-Funktionen realisiert würde. Marc Maiffret, "Chief Hacking Officer" bei eEye rückt in amerikanischen Medien die Spekulationen gar in die Nähe von Metallhüten (Tinfoil Hats), mit denen sich Paranoiker gegen Gedankenkontrolle abschirmen wollen. Trotzdem ist natürlich die Gefahr, die von den WMF-Problemen ausgeht real, und wer es noch nicht getan hat, sollte schleunigst den Microsoft-Patch einspielen.
Siehe dazu auch:
* Transkription des Podcasts von Steve Gibson
* Looking at the WMF issue, how did it get there? von Stephen Toulouse, Microsoft
Quelle und Links : http://www.heise.de/security/news/meldung/68360
-
Microsoft hat auch für das noch in der Entwicklung befindliche Windows Vista ein Update herausgegeben, das dort die kritische WMF-Sicherheitslücke schließt. Der Redmonder Konzern hat offenbar die alten GDI-Routinen zum Darstellen von WMF-Grafiken und Abbrechen von Druckaufträgen auch in seine neueste Betriebssystem-Schöpfung übernommen.
Im Sicherheits-Bulletin MS06-001 wird Windows Vista nicht unter den verwundbaren Systemen aufgelistet. Da bis jetzt nur Vorab-Versionen von Vista als technische Demonstration für Entwickler und Systemadministratoren (Community Technology Preview, CTP) existieren, sieht Microsoft wohl keine Notwendigkeit, dieses Betriebssystem schon zu erwähnen.
Windows Vista soll Anfang des zweiten Halbjahres 2006 fertig werden. Allerdings ist die auch in dem XP-Nachfolger vorhandene WMF-Sicherheitslücke kein gutes Omen, legt sie doch nahe, dass die Redmonder auch weitere Lücken in das kommende System portiert haben dürften.
Siehe dazu auch:
* Security Update for Windows Vista December CTP (KB912919) von Microsoft
* Sicherheitsanfälligkeit in Grafikwiedergabemodul kann Remotecodeausführung ermöglichen (912919) von Microsoft
* Demo zum WMF-Sicherheitsproblem des c't-Browserchecks
* Demo zum WMF-Sicherheitsproblem des c't-Emailchecks
* Spekulationen über WMF-Bug als absichtliche Windows-Hintertür auf heise Security
* Microsoft kündigt Patch für WMF-Lücke an auf heise Security
* Neujahrsgrüße nutzen WMF-Lücken auf heise Security
* Virenschutz gegen WMF-Exploit auf heise Security
* Weitere Details zur WMF-Lücke auf heise Security
* WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
* WMF-Bilder infizieren Windows-PCs auf heise Security
Quelle undf Links : http://www.heise.de/security/news/meldung/68369
-
Wahrscheinlich wurde die WMF-Lücke in Windows bereits einige Zeit vor ihrer Veröffentlichung für kleinere, gezielte Attacken ausgenutzt, erklärte Jim Melnick, Mitarbeiter beim IT-Sicherheitsdienstleister iDefense gegenüber US-Medien. Man habe bereits frühere Aktivitäten auf russischen Underground-Websites beobachtet, die sich um eine Lücke bei der Verarbeitung von WMF-Bilder drehten. Offenbar versuchten mehrere rivalisierende russische Hacker-Gruppen bereits Mitte Dezember, einen Exploit für die Lücke zu verkaufen – der Preis: 4000 US-Dollar.
Auch die Kaspersky Labs wollen schon Mitte Dezember, also rund 14 Tage vor den ersten öffentlichen Warnungen vor infizierten WMF-Bildern, mysteriöse WMF-Dateien mit Schadcode registriert haben. Nach Meinung von Alexander Gostev von Kaspersky dürften die Hacker die Schwachstelle zu diesem Zeitpunkt selbst aber noch nicht gänzlich verstanden haben. Dies änderte sich erst, als sich ein Käufer für den Exploit fand und ihn verbesserte, um ihn zur Verbreitung von Spyware und Trojanern über Web-Seiten einzusetzen. Ursprünglich soll die Lücke sogar schon Anfang Dezember entdeckt worden sein.
Gostev unterstrich in einem Interview, dass dieser Vorgang eine Bestätigung für die Annahme sei, dass es im Untergrund einen lukrativen Markt für Schadprogramme gebe, die bislang unbekannte Windows-Lücken ausnutzen. Es sei nicht davon auszugehen, dass Schwachstellen immer nur von Firmen wie eEye und iDefense veröffentlicht würden, die den Hersteller vorab informieren. Auch Melnick bestätigt den Handel mit Zero-Day-Exploits. Einige Gruppen würden den Code auch sorgfältiger auf seine Funktionsfähigkeit testen und ihn so anpassen, dass er nicht von Antivirensoftware erkannt würde.
Den ersten öffentlichen Hinweis gab es erst am 27. Dezember auf der Mailing-Liste "Full Disclosure" mit einem Link zu einer Seite, die bereits Trojaner verschleuderte. Innerhalb einer Woche registrierten die Hersteller von Antivirensoftware mehrere hundert Seiten mit infizierten Bildern. Microsoft sah sich gezwungen, noch vor dem offiziellen Patchday ein Update für Windows herauszugeben.
Quelle und Links : http://www.heise.de/security/news/meldung/69207
-
Die WMF-Sicherheitslücke in Windows wird weiterhin genutzt, um Trojanische Pferde einzuschleusen.
Auch fünf Wochen nach Bekanntwerden der WMF-Sicherheitslücke in Windows versuchen Unbekannte weiterhin diese Lücke zum Einschleusen von Trojanischen Pferden zu nutzen. Websense berichtet über eine Mail, in der die Vogelgrippe als Aufhänger genutzt wird.
Mutmaßlich richtet sich diese Mail vorwiegend an Personen in Großbritannien. Mit dem Betreff "Attention Bird Flu in England." kommt ein Text, der behauptet, die so genannte Vogelgrippe sei bereits in England angekommen. Die britische Regierung würde diese angebliche Tatsache jedoch verschweigen.
Mail-Text:
Attention !!! Bird flu in England !!!
UK researchers reported to government that the H5N1 influenza virus was founded in some birds in the UK. Also, 35 yo man infected with the H5N1 bird flu virus hospitalized in UK hospital !
government trying to hide the true from people despite real facts.
All facts you can read here on our website...............
Die verlinkte Website versucht den Eindruck zu erwecken, der Zugang zu dieser Seite sei gesperrt. Tatsächlich jedoch wird innerhalb der angezeigten Seite ein Iframe geladen, der eine präparierte WMF-Datei (expl1.wmf) enthält. Wird die Seite mit dem Internet Explorer auf einem ungepatchten Windows-PC geladen, kommt der WMF-Exploit zum Tragen. Durch das Öffnen der präparierten WMF-Datei wird ein Trojanisches Pferd mit dem Dateinamen "expl1.exe" von einer anderen Website geladen.
Bereits zuvor sind mehrere Fälle bekannt geworden, in denen Mails mit verschiedenen Inhalten genutzt wurden, um die Empfänger auf eine präparierte Website zu locken. So wurde zum Beispiel eine gefälschte Auftragsbestätigung von Dell in Deutschland verbreitet. Eine gefälschte Website der Olympia-Organisatoren in London enthielt ebenfalls eine WMF-Datei, die Besuchern ein Trojanisches Pferd unterschieben sollte. Dass eine solche präparierte WMF-Datei auch auf seriösen und vermeintlich sicheren Websites lauern kann, zeigte erst vor wenigen Tagen der Fall der AMD-Foren .
Wenn Sie Windows XP oder 2000 installiert haben, überprüfen Sie, ob das Sicherheits-Update "912919" aus dem Microsoft Security Bulletin MS06-001 installiert ist. Falls nicht holen Sie das so bald wie möglich nach.
Quelle und Links : http://www.pcwelt.de/news/sicherheit/131197/index.html
-
Zwar sollte sie eigentlich kaum noch jemand einsetzen, aber einige wenige Anwender wiegen sich in trügerischer Sicherheit, weil für sie ja angeblich keine Exploits mehr kursieren: die Internet-Explorer-Versionen 5.01 und 5.5. Das könnte sich nun ändern. Microsoft weist in einem Security Advisory darauf hin, dass in diesen Versionen eine weitere Lücke bei der Verarbeitung von WMF-Dateien steckt, die beim Besuch einer manipulierten Webseite zur Infektion mit Schädlingen führen kann. Die Lücke hat nichts mit der Ende Dezember bekannt gewordenen WMF-Lücke zu tun und ist nicht im Internet Explorer 6 enthalten. Abhilfe schafft deshalb auch die Installation von Version 6 SP1.
Des Weiteren reagiert Microsoft mit einem Advisory auf ein Dokument von Andrew Appel und Sudhakar Govindavajhala. Sie weisen darin auf Fehlkonfigurationen des Windows Zugriffs-Modells hin und führen als Beispiele die Windows-Dienste uPnP, NetBT, SCardSvr und SSDP an, durch die eingeschränkte Nutzer an System-Rechte unter XP gelangen können. Unter Windows Server 2003 lässt sich NetBT dafür ausnutzen. Um sich des Problems zu entledigen, empfehlen die Redmonder die Installation des Service Packs 2 für Windows XP und Service Pack 1 für Windows Server 2003.
Siehe dazu auch:
* Possible Vulnerability in Windows Service ACLs, Advisory von Microsoft
* Vulnerability in Internet Explorer Could Allow Remote Code Execution, Advisory von Microsoft
* Höhere Zugriffsrechte unter Windows durch falsch konfigurierte Programme, Meldung auf heise Security
Quelle und Links : http://www.heise.de/security/news/meldung/69352
-
Eine angebliche Auftragsbestätigung nutzt einen WMF-Exploit, um ein Trojanisches Pferd einzuschleusen.
Heute werden massenhaft gefälschte Auftragsbestätigungen verschickt, die vorgeblich vom "T-Online Online Store" kommen. Tatsächlich werden sie Spam-artig über Botnets verbreitet. Die Mails enthalten einen Link, über den ein Trojanisches Pferd eingeschmuggelt werden soll.
Die Mails kommen mit einem Betreff wie "Ihr Auftrag #36760 im Wert von € 729 ist angenommen". Im Text heißt es dann:
Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag #36760 Canon EOS 350 D Profi-Digicam im
Wert von Euro 729 ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen
Vielen Dank
T-Online Online Store.
Der Link führt zu einer derzeit noch aktiven Website, die eine präparierte WMF-Datei lädt. Diese Bilddatei wird bei ungepatchtem Windows XP in der "Windows Bild- und Faxanzeige" geöffnet. Dadurch wird eine Sicherheitslücke ausgenutzt, um einen Form-Grabber einzuschleusen, der Zugangsdaten für das Online-Banking ausspionieren soll.
Der Schädling landet als "ipsec6mon.dll" im System-Verzeichnis von Windows und wird auch in die Registry eingetragen. Diesen Eintrag erkennt Windows Defender Beta 2 (vormals Microsoft Anti-Spyware) als "PWS.Banker". Windows Defender erkennt allerdings schon vorher den WMF-Exploit. Wird Windows Defender erst nachträglich installiert oder aktiviert, entfernt es nur den Registry-Eintrag, lässt die Datei jedoch, wo sie ist.
Quelle : www.pcwelt.de