Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll. A

Bei einem Test der heise-Security-Redaktion mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.

Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.

QUELLE

Der gestern gemeldete Zero-Day-Exploit für eine WMF-Lücke in Windows hat sich offenbar schnell verbreitet und ist auch bereits öffentlich verfügbar. So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" mit einem präparierten Link. Ein unbedachter Klick darauf öffnet eine Seite, die ein WMF-Bild nachlädt und je nach Konfiguration automatisch in der verknüpften Anwendung anzeigt. Dabei ist es zwar grundsätzlich egal, mit welchem Browser der Anwender die Seite ansurft. Der Internet Explorer öffnet aber in der Regel ein WMF-Bild ohne Nachfrage in der Bild- und Faxanzeige, was zur sofortigen Infektion führt. Andere Browser fragen erst nach, womit das Bild geöffnet werden soll -- das konkrete Verhalten hängt vom jeweiligen System ab.

Ursache der Sicherheitslücke ist ein Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird -- neben der Bild- und Faxanzeige auch vom Windows Explorer und Google Desktop. Im Windows Explorer genügt bereits die Voransicht eines präparierten Bildes, um den Schad-Code zu starten. Microsoft hat zu der Sicherheitslücke ein eigenes Advisory veröffentlicht, ein Patch ist aber noch nicht in Aussicht. Außer wenig hilfreichen Standardtipps (Firewall einschalten, Updates einspielen, Virenscanner installieren) schlagen die Redmonder vor, die verwundbare Bibliothek zu deregistrieren, damit die Anwendungen sie nicht mehr aufrufen können. Für das Deregistrieren der DLL sorgt in der Eingabeaufforderung (oder unter Ausführen) der Befehl:

regsvr32 -u %windir%\system32\shimgvw.dll


Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. Wann Microsoft ein Update zur Verfügung stellt, ist nicht bekannt. Sobald dies aber installiert ist, kann der Anwender die Bibliothek wieder registrieren:

regsvr32 %windir%\system32\shimgvw.dll


Leider erkennen aktuell noch nicht alle Virenscanner den Schad-Code zuverlässig, was auch daran liegen mag, dass schon diverse Mutationen des Originals im Umlauf sind. Auch das Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

QUELLE

@ Kampfhund
Niemand braucht wmf. Nur fragt sich die Zielgruppe nicht, was sie braucht. Der Erfolg dieser Idee spricht für sich.

Und weiter gehts:

Zitat:

Die Hersteller von Antiviren-Software bemühen sich nach Kräften, die Verbreitung des WMF-Exploit einzudämmen und liefern Signaturen aus, die präparierte WMF-Bilder erkennen. Durch einen Fehler in der Grafik-Engine von Windows kann durch das Öffnen von WMF-Bildern fremder Code ausgeführt und beispielsweise Spyware installiert werden. Dazu genügt mit dem Internet Explorer das Öffnen einer Web-Seite, die derartig präparierte Bilder einbindet. Auch die Dateivorschau für eine bereits auf dem System befindliche Datei kann die Infektion auslösen. Andreas Marx von AV-Test hat einen Kurztest mit 73 verschiedenen Exemplaren durchgeführt, die bereits im Internet verbreitet sind. Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und konnten eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert. Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft. Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei. Wichtig ist es, den Viren-Scanner beziehungsweise -Wächter so einzustellen, dass er alle Dateien unabhängig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorläufig zu blockieren, auch wenn das natürlich keinen echten Schutz verspricht.

QUELLE

Was ist eigentlich, wenn wmf-Dateien wie bei mir mit IrfanView verknüpft sind?

Ahso. Nun gut, ich habe die Deregistrierung vorgenommen und fertig. Ich hatte noch nie das Gefühl, eine wmf-Datei zu vermissen. Und aktive Inhalte sind bei mir in der Internetzone sowieso außen vor.

Nää, ich will keine Aufsätze.. alles Schnickschnack!

heise Security stellt auf dem c't-Browser- und -Emailcheck Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.

Diese Lücke nutzen bereits tausende von Web-Sites und diverse Würmer aus, um Windows-Systeme mit Spyware und Hintertüren zu kompromittieren. Die Browsercheck-Demo hingegen ist völlig harmlos und startet über eine spezielle Web-Seite nur den Windows-Taschenrechner. Beim Internet Explorer geschieht dies automatisch, bei Firefox & Co muss der Anwender zuvor noch das Öffnen der Datei bestätigen. Beim c't-Emailcheck können Sie sich eine als JPG getarnte WMF-Datei zusenden lassen, die beim Öffnen ebenfalls den Windows-Taschenrechner startet. Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu starten, genügt bereits die Verzeichnisansicht des Windows Explorers. Die Demo wurde unter Windows XP mit Service Pack 2 und allen Patches getestet.

Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt seine Wirksamkeit. Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.

QUELLE

Extras-Optionen-Sicherheit bei "Speichern oder Öffnen von Anlagen usw........" den Hacken raus dann löscht OE auch nix mehr raus.

PS: ist aber nicht umbedingt empfehlenwert

Golem berichtet dazu noch folgendes:

Zitat:

Vorerst plant Microsoft nicht, einen Patch zur Behebung der Sicherheitslücken bereit zu stellen. Statt dessen will der Software-Gigant die gefundenen Sicherheitslücken erst durch ein Service Pack bereinigen. Für Windows XP ist das kommende Service Pack 3 für das zweite Halbjahr 2007 vorgesehen, so dass Anwender bis zur Behebung der Fehler noch viel Geduld aufbringen müssen. Das bedeutet allerdings auch, dass Nutzer von Windows 2000 wohl dauerhaft mit dem Fehler leben müssen, denn für diese Betriebssystemversion ist kein weiteres Service Pack geplant.

http://www.golem.de/0601/42626.html

Na toll. Für XP (H) wird der Support ebenfalls Ende des Jahres eingestellt. Also lässt MS alle Kunden bis einschl. XP (H) auf Dauer im Regen stehen. Na ja, ist ja nur ein "Designfehler", der bei Befall den Rechner unbrauchbar macht.

edit
Link nachgetragen