Thema: WMF-Bilder infizieren Windows-PCs

[SiLæncer]

Zwei neue WMF-Exploits bringen WMF-verarbeitende Anwendungen zum Absturz, obwohl der Microsoft-Patch MS06-001 eingespielt wurde. Die jetzt aufgetauchten Demo-Bilder führen beispielsweise zum Absturz des Windows Explorer, wenn sie von ihm untersucht werden, etwa beim Löschversuch.

Bei den von Frank Ruder entdeckten Schwachstellen handelt es sich laut seiner Sicherheitsmeldung um Fehler in der Speicherverwaltung bei der Verarbeitung der manipulierten WMF-Dateien. Durch präparierte Bilder greift die GDI auf nicht alloziierte Speicherbereiche zu, was zu Zugriffsfehlern und in Folge zum Programmabsturz führt.

Wie schon bei der ersten WMF-Lücke handelt es sich hierbei nicht um klassische Pufferüberläufe. Vielmehr sind es Design-Fehler in dem 16 Jahre alten Format, die jetzt zu Problemen führen und deren Entdeckung durch Bösewichte nur eine Frage der Zeit war.

Bisher ist unklar, ob darüber auch eingeschleuster Code zur Ausführung kommen kann. Microsoft bestätigt die Abstürze und geht laut einem Eintrag im Security-Response-Center-Blog aber nicht davon aus, dass sich die Lücke zum Ausführen von Schadcode nutzen lässt; es handele sich vielmehr um ein Performance-Problem in Windows. Lediglich einige WMF-verarbeitende Anwendungen könnten sich unerwartet verabschieden.

Wie die Proof-of-Concept-Dateien jedoch belegen, lässt sich die Lücke zumindest zu einem Denial-of-Service gegen den Windows Explorer, also der zentralen Komponente für die Benutzerinteraktion einer Windows-Installation, missbrauchen. Eine auf dem Desktop abgelegte manipulierte WMF-Datei könnte so den Computer unbrauchbar machen, da der Explorer im Sekundentakt abstürzen würde. Die Taskleiste verschwindet, bis sich der Explorer neu gestartet hat, um daraufhin gleich wieder im digitalen Nirvana nach dem Rechten zu sehen; das Windows lässt sich nicht mehr benutzen.

Ruder empfiehlt in seiner Sicherheitsmeldung, wie zuvor schon bei der ersten WMF-Lücke die shimgvw.dll zu deregistrieren. Dazu muss an der Kommandozeile oder über "Ausführen" im Startmenü der Befehl

regsvr32 -u %windir%\system32\shimgvw.dll

vom Administrator ausgeführt werden.

Siehe dazu auch:

    * Microsoft Windows GRE WMF Format Multiple Memory Overrun Vulnerabilities von Frank Ruder auf Full Disclosure
    * PoC for the 2 new WMF vulnerabilities (DoS) von Andrey Bayora auf Full Disclosure
    * Information on new WMF Posting im Microsoft Security Response Center Blog
    * Microsoft veröffentlicht WMF-Patch vorab auf heise Security
    * Demo zum älteren WMF-Sicherheitsproblem des c't-Browser-Checks
    * Demo zum älteren WMF-Sicherheitsproblem des c't-E-Mail-Checks

Quelle und Links : http://www.heise.de/newsticker/meldung/68157

[SiLæncer]

Steve Gibson, unter anderem Betreiber des Portscan-Dienstes Shields-Up, beschuldigt in einem Podcast Microsoft, die erst kürzlich geschlossene WMF-Lücke absichtlich als Hintertür in Windows eingebaut zu haben: "Das war kein Fehler. Das ist kein fehlerhafter Code. Das hat jemand in Windows eingebaut", erklärt er und spekuliert weiter: "Falls Microsoft eine Abkürzung benötigt, einen Weg, um Code auf Windows-Systemen auszuführen, die ihre Web-Seite besuchen, hatten sie diese Möglichkeit und dieser Code gab sie ihnen." Zentrales Element seiner Argumentation ist seine Beobachtung, die fragliche SetAbortProc-Funktion könne nur mit einer bestimmten, ungültigen Längenangabe überhaupt aktiv werden. Dies sei offensichtlich ein Schutzmechanismus, der verhindern solle, dass jemand zufällig über die Hintertür stolpere.

Gibson hat insofern Recht, dass es sich bei dem WMF-Sicherheitsproblem anders als bei den meisten Lücken nicht um einen Programmierfehler handelt, der sich ausnutzen lässt, sondern um eine absichtlich eingebaute Funktion. Sie stammt aus der Zeit, als Windows kooperatives Multitasking eine solche Callback-Funktion erforderte, beispielsweise um Druckjobs abzubrechen, erläutert Stephen Toulouse, Security Program Manager bei Microsoft in einem diesbezüglichen Blog-Eintrag. Dass sich diese Funktion nur mit einer falschen Längenangabe aufrufen ließe, sei allerdings falsch: Auch korrekte WMF-Dateien können laut Toulouse SetAbortProc-Funktionen aktivieren.

Allerdings wirft auch seine Erwiderung an einigen Stellen kein allzu gutes Licht auf Microsofts Sicherheitsbemühungen. So habe man die potenzielle Gefahr dieses Metafile-Records erkannt und einige Applikationen wie der Internet Explorer werteten diese deshalb nicht selbst aus. Wie eine solche erkannte und dann wohl hoffentlich auch dokumentierte Gefahr durch die intensiven Security Reviews rutschen konnte, die man unter anderem im Zuge der Erstellung von Service Pack 2 für Windows XP vorgenommen hat, erklärt Toulouse jedoch nicht.

Dafür erläutert er nochmals, warum Microsoft keinen Patch für Windows 98/SE bereitstellt, obwohl diese prinzipiell auch verwundbar sind. Die möglichen Einfallstore auf diesen Plattformen erforderten erhebliche Mitwirkung des Anwenders, was eine Einstufung als kritisches Problem nicht rechtfertige. Und nur für solche gäbe es noch Sicherheitspatches im Rahmen des Extended Support Lifecycles – und das auch nur noch bis Juni 2006. Wer gezwungen ist, weiterhin eines dieser Systeme einzusetzen kann sich nur mit Hilfe von Drittherstellern schützen. Beispielsweise bietet der Hersteller des Virenscanners NOD32 einen Patch an – allerdings ohne jegliche Gewähr.

Gibsons Backdoor-Spekulationen werden in der Security-Gemeinde jedenfalls nicht weiter ernst genommen. Dass sich Microsoft den exklusiven Zugriff auf eine hypothetische Hintertür nur durch eine falsche Längenangabe sichern würde, ist wenig wahrscheinlich. Dave Aitel von der Sicherheitsfirma Immunity geht davon aus, dass dies über richtige Krypto-Funktionen realisiert würde. Marc Maiffret, "Chief Hacking Officer" bei eEye rückt in amerikanischen Medien die Spekulationen gar in die Nähe von Metallhüten (Tinfoil Hats), mit denen sich Paranoiker gegen Gedankenkontrolle abschirmen wollen. Trotzdem ist natürlich die Gefahr, die von den WMF-Problemen ausgeht real, und wer es noch nicht getan hat, sollte schleunigst den Microsoft-Patch einspielen.

Siehe dazu auch:

    * Transkription des Podcasts von Steve Gibson
    * Looking at the WMF issue, how did it get there? von Stephen Toulouse, Microsoft

Quelle und Links : http://www.heise.de/security/news/meldung/68360

[SiLæncer]

Microsoft hat auch für das noch in der Entwicklung befindliche Windows Vista ein Update herausgegeben, das dort die kritische WMF-Sicherheitslücke schließt. Der Redmonder Konzern hat offenbar die alten GDI-Routinen zum Darstellen von WMF-Grafiken und Abbrechen von Druckaufträgen auch in seine neueste Betriebssystem-Schöpfung übernommen.

Im Sicherheits-Bulletin MS06-001 wird Windows Vista nicht unter den verwundbaren Systemen aufgelistet. Da bis jetzt nur Vorab-Versionen von Vista als technische Demonstration für Entwickler und Systemadministratoren (Community Technology Preview, CTP) existieren, sieht Microsoft wohl keine Notwendigkeit, dieses Betriebssystem schon zu erwähnen.

Windows Vista soll Anfang des zweiten Halbjahres 2006 fertig werden. Allerdings ist die auch in dem XP-Nachfolger vorhandene WMF-Sicherheitslücke kein gutes Omen, legt sie doch nahe, dass die Redmonder auch weitere Lücken in das kommende System portiert haben dürften.

Siehe dazu auch:

    * Security Update for Windows Vista December CTP (KB912919) von Microsoft
    * Sicherheitsanfälligkeit in Grafikwiedergabemodul kann Remotecodeausführung ermöglichen (912919) von Microsoft

    * Demo zum WMF-Sicherheitsproblem des c't-Browserchecks
    * Demo zum WMF-Sicherheitsproblem des c't-Emailchecks

    * Spekulationen über WMF-Bug als absichtliche Windows-Hintertür auf heise Security
    * Microsoft kündigt Patch für WMF-Lücke an auf heise Security
    * Neujahrsgrüße nutzen WMF-Lücken auf heise Security
    * Virenschutz gegen WMF-Exploit auf heise Security
    * Weitere Details zur WMF-Lücke auf heise Security
    * WMF-Exploit tarnt sich als Google-Grußkarte auf heise Security
    * WMF-Bilder infizieren Windows-PCs auf heise Security


Quelle undf Links : http://www.heise.de/security/news/meldung/68369

[SiLæncer]

Wahrscheinlich wurde die WMF-Lücke in Windows bereits einige Zeit vor ihrer Veröffentlichung für kleinere, gezielte Attacken ausgenutzt, erklärte Jim Melnick, Mitarbeiter beim IT-Sicherheitsdienstleister iDefense gegenüber US-Medien. Man habe bereits frühere Aktivitäten auf russischen Underground-Websites beobachtet, die sich um eine Lücke bei der Verarbeitung von WMF-Bilder drehten. Offenbar versuchten mehrere rivalisierende russische Hacker-Gruppen bereits Mitte Dezember, einen Exploit für die Lücke zu verkaufen – der Preis: 4000 US-Dollar.

Auch die Kaspersky Labs wollen schon Mitte Dezember, also rund 14 Tage vor den ersten öffentlichen Warnungen vor infizierten WMF-Bildern, mysteriöse WMF-Dateien mit Schadcode registriert haben. Nach Meinung von Alexander Gostev von Kaspersky dürften die Hacker die Schwachstelle zu diesem Zeitpunkt selbst aber noch nicht gänzlich verstanden haben. Dies änderte sich erst, als sich ein Käufer für den Exploit fand und ihn verbesserte, um ihn zur Verbreitung von Spyware und Trojanern über Web-Seiten einzusetzen. Ursprünglich soll die Lücke sogar schon Anfang Dezember entdeckt worden sein.

Gostev unterstrich in einem Interview, dass dieser Vorgang eine Bestätigung für die Annahme sei, dass es im Untergrund einen lukrativen Markt für Schadprogramme gebe, die bislang unbekannte Windows-Lücken ausnutzen. Es sei nicht davon auszugehen, dass Schwachstellen immer nur von Firmen wie eEye und iDefense veröffentlicht würden, die den Hersteller vorab informieren. Auch Melnick bestätigt den Handel mit Zero-Day-Exploits. Einige Gruppen würden den Code auch sorgfältiger auf seine Funktionsfähigkeit testen und ihn so anpassen, dass er nicht von Antivirensoftware erkannt würde.

Den ersten öffentlichen Hinweis gab es erst am 27. Dezember auf der Mailing-Liste "Full Disclosure" mit einem Link zu einer Seite, die bereits Trojaner verschleuderte. Innerhalb einer Woche registrierten die Hersteller von Antivirensoftware mehrere hundert Seiten mit infizierten Bildern. Microsoft sah sich gezwungen, noch vor dem offiziellen Patchday ein Update für Windows herauszugeben.

Quelle und Links : http://www.heise.de/security/news/meldung/69207

[SiLæncer]

Die WMF-Sicherheitslücke in Windows wird weiterhin genutzt, um Trojanische Pferde einzuschleusen.

Auch fünf Wochen nach Bekanntwerden der WMF-Sicherheitslücke in Windows versuchen Unbekannte weiterhin diese Lücke zum Einschleusen von Trojanischen Pferden zu nutzen. Websense berichtet über eine Mail, in der die Vogelgrippe als Aufhänger genutzt wird.

Mutmaßlich richtet sich diese Mail vorwiegend an Personen in Großbritannien. Mit dem Betreff "Attention Bird Flu in England." kommt ein Text, der behauptet, die so genannte Vogelgrippe sei bereits in England angekommen. Die britische Regierung würde diese angebliche Tatsache jedoch verschweigen.

Mail-Text:

Attention !!! Bird flu in England !!!

UK researchers reported to government that the H5N1 influenza virus was founded in some birds in the UK. Also, 35 yo man infected with the H5N1 bird flu virus hospitalized in UK hospital !

government trying to hide the true from people despite real facts.

All facts you can read here on our website...............


Die verlinkte Website versucht den Eindruck zu erwecken, der Zugang zu dieser Seite sei gesperrt. Tatsächlich jedoch wird innerhalb der angezeigten Seite ein Iframe geladen, der eine präparierte WMF-Datei (expl1.wmf) enthält. Wird die Seite mit dem Internet Explorer auf einem ungepatchten Windows-PC geladen, kommt der WMF-Exploit zum Tragen. Durch das Öffnen der präparierten WMF-Datei wird ein Trojanisches Pferd mit dem Dateinamen "expl1.exe" von einer anderen Website geladen.

Bereits zuvor sind mehrere Fälle bekannt geworden, in denen Mails mit verschiedenen Inhalten genutzt wurden, um die Empfänger auf eine präparierte Website zu locken. So wurde zum Beispiel eine gefälschte Auftragsbestätigung von Dell in Deutschland verbreitet. Eine gefälschte Website der Olympia-Organisatoren in London enthielt ebenfalls eine WMF-Datei, die Besuchern ein Trojanisches Pferd unterschieben sollte. Dass eine solche präparierte WMF-Datei auch auf seriösen und vermeintlich sicheren Websites lauern kann, zeigte erst vor wenigen Tagen der Fall der AMD-Foren .

Wenn Sie Windows XP oder 2000 installiert haben, überprüfen Sie, ob das Sicherheits-Update "912919" aus dem Microsoft Security Bulletin MS06-001 installiert ist. Falls nicht holen Sie das so bald wie möglich nach.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/131197/index.html

[SiLæncer]

Zwar sollte sie eigentlich kaum noch jemand einsetzen, aber einige wenige Anwender wiegen sich in trügerischer Sicherheit, weil für sie ja angeblich keine Exploits mehr kursieren: die Internet-Explorer-Versionen 5.01 und 5.5. Das könnte sich nun ändern. Microsoft weist in einem Security Advisory darauf hin, dass in diesen Versionen eine  weitere Lücke bei der Verarbeitung von WMF-Dateien steckt, die beim Besuch einer manipulierten Webseite zur Infektion mit Schädlingen führen kann. Die Lücke hat nichts mit der Ende Dezember bekannt gewordenen WMF-Lücke zu tun und ist nicht im Internet Explorer 6 enthalten. Abhilfe schafft deshalb auch die Installation von Version 6 SP1.

Des Weiteren reagiert Microsoft mit einem Advisory auf ein Dokument von Andrew Appel und Sudhakar Govindavajhala. Sie weisen darin auf Fehlkonfigurationen des Windows Zugriffs-Modells hin und führen als Beispiele die Windows-Dienste uPnP, NetBT, SCardSvr und SSDP an, durch die eingeschränkte Nutzer an System-Rechte unter XP gelangen können. Unter Windows Server 2003 lässt sich NetBT dafür ausnutzen. Um sich des Problems zu entledigen, empfehlen die Redmonder die Installation des Service Packs 2 für Windows XP und Service Pack 1 für Windows Server 2003.

Siehe dazu auch:

    * Possible Vulnerability in Windows Service ACLs, Advisory von Microsoft
    * Vulnerability in Internet Explorer Could Allow Remote Code Execution, Advisory von Microsoft
    * Höhere Zugriffsrechte unter Windows durch falsch konfigurierte Programme, Meldung auf heise Security


Quelle und Links : http://www.heise.de/security/news/meldung/69352

[SiLæncer]

Eine angebliche Auftragsbestätigung nutzt einen WMF-Exploit, um ein Trojanisches Pferd einzuschleusen.

Heute werden massenhaft gefälschte Auftragsbestätigungen verschickt, die vorgeblich vom "T-Online Online Store" kommen. Tatsächlich werden sie Spam-artig über Botnets verbreitet. Die Mails enthalten einen Link, über den ein Trojanisches Pferd eingeschmuggelt werden soll.

Die Mails kommen mit einem Betreff wie "Ihr Auftrag #36760 im Wert von € 729 ist angenommen". Im Text heißt es dann:

Vielen Dank fur das Einkaufen bei uns.
Ihr Auftrag #36760 Canon EOS 350 D Profi-Digicam im
Wert von Euro 729 ist angenommen.
Dieser Betrag wird von Ihrer Karte abgebucht werden
In Ihrem Profil konnen Sie alle Auftragsdetails checken
Klick mal rein um den Auftrag zu sehen

Vielen Dank
T-Online Online Store.

Der Link führt zu einer derzeit noch aktiven Website, die eine präparierte WMF-Datei lädt. Diese Bilddatei wird bei ungepatchtem Windows XP in der "Windows Bild- und Faxanzeige" geöffnet. Dadurch wird eine Sicherheitslücke ausgenutzt, um einen Form-Grabber einzuschleusen, der Zugangsdaten für das Online-Banking ausspionieren soll.

Der Schädling landet als "ipsec6mon.dll" im System-Verzeichnis von Windows und wird auch in die Registry eingetragen. Diesen Eintrag erkennt Windows Defender Beta 2 (vormals Microsoft Anti-Spyware) als "PWS.Banker". Windows Defender erkennt allerdings schon vorher den WMF-Exploit. Wird Windows Defender erst nachträglich installiert oder aktiviert, entfernt es nur den Registry-Eintrag, lässt die Datei jedoch, wo sie ist.

Quelle : www.pcwelt.de