Thema: Erste Exploits nutzen JPEG-Sicherheitslücke in Windows aus

[SiLæncer]

Nach den ersten Demo-Bildern zur JPEG-Sicherheitslücke in Windows, die allerdings nur zum Absturz von Applikationen führten, sind jetzt gleich zwei Exploits aufgetaucht, die präparierte JPEGs erzeugen, um Code in Windows-Rechner zu schleusen und auszuführen. Der erste in C geschriebene Exploit öffnet eine Eingabeaufforderung (cmd.exe), die aber nicht an das Netzwerk gebunden ist. Eine netzwerkfähige Variante dürfte wahrscheinlich bereits in den nächsten Stunden kursieren. Der zweite in Perl programmierte Exploit fügt der lokalen Gruppe der Administratoren den Benutzer X hinzu. Die Exploits funktionieren nach ersten Erkenntnissen auf Windows-XP-SP1-Systemen. Systeme auf denen bereits Service Pack 2 oder die Security Updates von Microsoft installiert wurden, sind nicht verwundbar. Anwender sollten schleunigst ihre Systeme aktualisieren, am besten über die eingebaute Windows-Update-Funktion.  

Anders als bei Internet-Würmern wie Sasser oder Lovsan alias Blaster ist für einen erfolgreichen Angriff eine Benutzerinteraktion notwendig. Allerdings reicht schon das Lesen einer Mail, in der ein Bild enthalten ist, oder das Besuchen einer manipulierten Web-Seite mit dem Internet Explorer. Auch auf der Festplatte oder anderen Datenträgern gespeicherte Bilder im .JPG-Format können Code einschleusen, wenn sie beispielsweise mit dem Windows Explorer geöffnet werden. heise Security wird nach eingehenderen Tests der Exploits weiter berichten.

Damit bestätigt sich der von Symantec in seinem Internet Security Threat Report festgestellte Trend, dass der Zeitraum zwischen Meldungen der Lücke und Veröffentlichung rapide abnimmt. Diesmal vergingen rund neun Tage, bei der Lücke im lsass-Dienst waren es fünf. Bis zum Sasser-Wurm vergingen dann nochmals zwei Wochen. Man darf gespannt sein, wann die ersten Web-Seiten Trojaner über JPEG-Bilder in Systeme schmuggeln oder ein JPEG-Wurm sich in Mails verbreitet.

Quelle : www.heise.de

[SiLæncer]

Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder ist aufgetaucht. Nach dem Start des Tools muss man nur noch eine URL zu einem Server eingeben, die auf ein dort gespeichertes beliebiges Programm zeigt. Ein Klick auf "Make" erzeugt dann ein JPG-Bild auf der Festplatte. Dessen Ansicht provoziert bei ungepatchten Applikationen unter Windows einen Buffer Overflow. In der Folge landet im Bild enthaltener Code auf dem Stack, der bei der Ausführung das Programm von der angegebenen URL nachlädt und startet.

Denkbar ist, dass Angreifer solche Bilder per Mail versenden und auf Web-Seiten platzieren, um verwundbare Systeme mit Trojanern und Dialern zu infizieren. Anwender sollten jetzt schleunigst die von Microsoft bereit gestellten Patches installieren. Es ist zu erwarten, dass der Baukasten demnächst weitere Verbreitung findet. Da er ohne tiefergehende Kenntnisse der Lücke oder des Exploit-Codes zu bedienen ist, ist er für Skript-Kiddies das ideale Angriffswerkzeug.

Mehrere Hersteller von Antivirensoftware haben ihre Signaturen angepasst, mit der die Scanner präparierte Bilder erkennen. Nach Angaben des Virenspezialisten Andreas Marx von AV-Test sind dies bisher: (alle Zeiten GMT)

Antivir 23.09.2004 17:51 "TR/Exploit.MS04-28 (exact)"
Dr. Web 21.09.2004 10:51 "Exploit.MS04-028"
eTrust (CA Engine) 22.09.2004 22:23 "JPEG.MS04-028.Exploit.Trojan"
eTrust (VET Engine) 23.09.2004 06:38 unvollständig als "JPEG.MS04-028.exploit"
eTrust (VET Engine) 24.09.2004 06:40 "JPEG.MS04-028.exploit"
F-Secure 20.09.2004 08:46 Exploit.Win32.MS04-028.gen
Kaspersky 23.09.2004 12:56 Exploit.Win32.MS04-028.gen
McAfee 16.09.2004 23:20 "Exploit-MS04-028" und "Exploit-MS04-028.demo"
Symantec 16.09.2004 03:38 unvollständig als "Bloodhound.Exploit.13"
Symantec 18.09.2004 03:42 "Bloodhound.Exploit.13"
Trend Micro 18.09.2004 06:10 "Exploit-MS04-028"
 

Anwender sollten aber darauf achten, dass ihr Virenscanner alle Dateien auf dem System untersucht. In einigen Produkten sind Erweiterungen von der Überprüfung ausgenommen, unter anderem auch .jpg. Selbst wenn .jpg explizit angegeben ist, muss das keinen hundertprozentigen Schutz bieten, da ein präpariertes Bild ja auch die gültig Endung .jpeg tragen kann.

Zusammen mit AV-Test untersucht heise Security ein weiteres JPEG-Bild, das auch auf vollständig gepatchten Systemen den Internet Explorer zum Absturz bringt. Der Fehler tritt aber nur in Microsofts Web-Browser auf, andere, von der ursprünglichen JPEG-Sicherheitslücke betroffene Applikationen scheinen in diesem Fall nicht gefährdet zu sein. Sollte sich der Fehler zum Einschleusen von Code ausnutzen lassen, wird heise Security eine Warnungmeldung veröffentlichen. Erste Ergebnisse deuten auf ein Problem bei der Verarbeitung des SOS-Tags in JPGs hin. Eine Null-Pointer-Dereference verursacht eine Speicherzugriffsverletzung, die zum Absturz führt -- Code lässt sich damit wahrscheinlich nicht einschleusen und ausführen.

Quelle : www.heise.de

[Warpi]

und der irrsinn geht weiter ....

Bisher galten Bild-Dateien als ungefährlich für das Einschleusen von Computer-Viren oder Trojanischen Pferden. Durch einen Fehler in der Bildverarbeitung von Microsoft-Programmen können jedoch auch manipulierte Bilder im JPG-Format den Anwender gefährden. Dazu reicht das Lesen einer E-Mail aus, der Besuch einer manipulierten Webseite, die Vorschau unter WindowsXP in einem Verzeichnis auf der Festplatte oder das Betrachten eines Dokumentes mit eingebettetem Bild. Gegen diesen neuartigen Angriff hilft nur ein aktuelles Viren-Schutzprogramm, das solch gefährliche JPG-Bilder erkennt und dann den Zugriff verweigert, sowie die Installation der von Microsoft bereitgestellten Sicherheits-Updates.

http://www.bsi.de/av/texte/schwachstelle-jpeg.htm

frau / mann lese nun mal was wieder alles an progis davon betroffen ist ...

quelle : www.bsi.de