Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
--- Sicherheitsnews (https://www.dedies-board.de/wbb2/board.php?boardid=7)
---- Sicherheitsnews-Archiv (https://www.dedies-board.de/wbb2/board.php?boardid=39)
----- WMF-Bilder infizieren Windows-PCs (https://www.dedies-board.de/wbb2/thread.php?threadid=1106)

Geschrieben von dedie am 28.12.2005 um 11:24:

Update WMF-Bilder infizieren Windows-PCs

Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll. A

Bei einem Test der heise-Security-Redaktion mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.

Da für die Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.

QUELLE


Geschrieben von MobyDuck am 28.12.2005 um 11:59:

 

Zitat:
Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch,

Augen rollen


Geschrieben von dedie am 29.12.2005 um 13:28:

Update WMF-Exploit tarnt sich als Google-Grußkarte [Update]

Der gestern gemeldete Zero-Day-Exploit für eine WMF-Lücke in Windows hat sich offenbar schnell verbreitet und ist auch bereits öffentlich verfügbar. So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" mit einem präparierten Link. Ein unbedachter Klick darauf öffnet eine Seite, die ein WMF-Bild nachlädt und je nach Konfiguration automatisch in der verknüpften Anwendung anzeigt. Dabei ist es zwar grundsätzlich egal, mit welchem Browser der Anwender die Seite ansurft. Der Internet Explorer öffnet aber in der Regel ein WMF-Bild ohne Nachfrage in der Bild- und Faxanzeige, was zur sofortigen Infektion führt. Andere Browser fragen erst nach, womit das Bild geöffnet werden soll -- das konkrete Verhalten hängt vom jeweiligen System ab.

Ursache der Sicherheitslücke ist ein Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird -- neben der Bild- und Faxanzeige auch vom Windows Explorer und Google Desktop. Im Windows Explorer genügt bereits die Voransicht eines präparierten Bildes, um den Schad-Code zu starten. Microsoft hat zu der Sicherheitslücke ein eigenes Advisory veröffentlicht, ein Patch ist aber noch nicht in Aussicht. Außer wenig hilfreichen Standardtipps (Firewall einschalten, Updates einspielen, Virenscanner installieren) schlagen die Redmonder vor, die verwundbare Bibliothek zu deregistrieren, damit die Anwendungen sie nicht mehr aufrufen können. Für das Deregistrieren der DLL sorgt in der Eingabeaufforderung (oder unter Ausführen) der Befehl:

regsvr32 -u %windir%\system32\shimgvw.dll


Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. Wann Microsoft ein Update zur Verfügung stellt, ist nicht bekannt. Sobald dies aber installiert ist, kann der Anwender die Bibliothek wieder registrieren:

regsvr32 %windir%\system32\shimgvw.dll


Leider erkennen aktuell noch nicht alle Virenscanner den Schad-Code zuverlässig, was auch daran liegen mag, dass schon diverse Mutationen des Originals im Umlauf sind. Auch das Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

QUELLE


Geschrieben von Kampfhund am 29.12.2005 um 19:10:

 

Im Webwasher wmf blocken und gut.

Wer braucht eigentlich wmf?


Geschrieben von MobyDuck am 29.12.2005 um 19:25:

 

@ Kampfhund
Niemand braucht wmf. Nur fragt sich die Zielgruppe nicht, was sie braucht. Der Erfolg dieser Idee spricht für sich.


Geschrieben von Vimes am 29.12.2005 um 19:39:

 

Zitat:
Original von Kampfhund
Im Webwasher wmf blocken und gut.


Hat nicht jeder.

MfG
Vimes


Geschrieben von dedie am 30.12.2005 um 17:16:

  Virenschutz gegen WMF-Exploit

Und weiter gehts:


Zitat:
Die Hersteller von Antiviren-Software bemühen sich nach Kräften, die Verbreitung des WMF-Exploit einzudämmen und liefern Signaturen aus, die präparierte WMF-Bilder erkennen. Durch einen Fehler in der Grafik-Engine von Windows kann durch das Öffnen von WMF-Bildern fremder Code ausgeführt und beispielsweise Spyware installiert werden. Dazu genügt mit dem Internet Explorer das Öffnen einer Web-Seite, die derartig präparierte Bilder einbindet. Auch die Dateivorschau für eine bereits auf dem System befindliche Datei kann die Infektion auslösen.

Andreas Marx von AV-Test hat einen Kurztest mit 73 verschiedenen Exemplaren durchgeführt, die bereits im Internet verbreitet sind. Die Viren-Scanner von Avast!, BitDefender, ClamAV, F-Secure, Fortinet, McAfee, Nod32, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten dabei alle 73 als Sicherheitsrisiko und konnten eine Infektion verhindern. eTrust (VET), QuickHeal, AntiVir, Dr. Web, Kaspersky und AVG haben immerhin schon knapp über 80 Prozent identifiziert. Mit weniger als 20 erkannten Exemplaren ist die Erkennungsleistung von Command, F-Prot, Ewido, eSafe, Ikarus und VBA32 derzeit noch mangelhaft. Normans Viren-Scanner versagte in diesem Test völlig und monierte keine einzige Datei.

Wichtig ist es, den Viren-Scanner beziehungsweise -Wächter so einzustellen, dass er alle Dateien unabhängig von der Dateiendung untersucht. Denn auch wenn die Bilder eine andere Endung tragen, sich also beispielsweise als JPG-Bild tarnen, erkennt Windows den Dateityp WMF und aktiviert den verwundbaren Windows Picture and Fax Viewer. Da derzeit die meisten infektiösen Websites noch mit der Dateiendung WMF arbeiten, ist es jedoch durchaus sinnvoll, dieses Dateiformat auf Web-Proxies von Firmen vorläufig zu blockieren, auch wenn das natürlich keinen echten Schutz verspricht.



QUELLE


Geschrieben von Kampfhund am 30.12.2005 um 17:20:

 

Zitat:
Original von Vimes
Hat nicht jeder.

Dann halt im IE die Anzeige von Bildern deaktivieren.
Ok, ist dann halt sehr spartanisch. ;-)


Geschrieben von steppl am 30.12.2005 um 19:16:

 

Was ist eigentlich, wenn wmf-Dateien wie bei mir mit IrfanView verknüpft sind?


Geschrieben von dedie am 30.12.2005 um 19:19:

 

Wenn du eins im I-net öffnest wird auf jeden Fall erst mal der Browser aktiv bevor IrfanView an die reihe kommt. Augen rollen


Geschrieben von steppl am 30.12.2005 um 19:25:

 

Ahso. Nun gut, ich habe die Deregistrierung vorgenommen und fertig. Ich hatte noch nie das Gefühl, eine wmf-Datei zu vermissen. Und aktive Inhalte sind bei mir in der Internetzone sowieso außen vor.


Geschrieben von Kampfhund am 30.12.2005 um 19:33:

 

Zitat:
Original von steppl
Ahso. Nun gut, ich habe die Deregistrierung vorgenommen und fertig. Ich hatte noch nie das Gefühl, eine wmf-Datei zu vermissen. Und aktive Inhalte sind bei mir in der Internetzone sowieso außen vor.

Nimm doch einen ordentlichen Browseraufsatz für deinen IE. Da kannst du wmf ganz einfach blocken.
http://maxthon.quox.net/


Geschrieben von steppl am 30.12.2005 um 19:35:

 

Nää, ich will keine Aufsätze.. alles Schnickschnack! großes Grinsen


Geschrieben von Kampfhund am 30.12.2005 um 20:36:

 

Zitat:
Original von steppl
alles Schnickschnack!

http://tech-security.com/blog/files/IE6SP2-POC.html

Da schmiert der IE ab. Maxthon nicht.

/OT


Geschrieben von dedie am 02.01.2006 um 18:15:

  Demos zum WMF-Sicherheitsproblem auf Browser- und E-Mail-Check

heise Security stellt auf dem c't-Browser- und -Emailcheck Demos bereit, die die Sicherheitsprobleme mit WMF-Dateien vorführen. Bilder im Windows Metafile Format (WMF), dessen Design noch aus den achtziger Jahren stammt, können Code enthalten, den das System in bestimmten Situationen ausführt – beispielsweise wenn das Rendern der Datei fehlschlägt. Dies nutzen speziell präparierte WMF-Bilder, um ihren eigenen Code via SETABORTPROC ausführen zu lassen.

Diese Lücke nutzen bereits tausende von Web-Sites und diverse Würmer aus, um Windows-Systeme mit Spyware und Hintertüren zu kompromittieren. Die Browsercheck-Demo hingegen ist völlig harmlos und startet über eine spezielle Web-Seite nur den Windows-Taschenrechner. Beim Internet Explorer geschieht dies automatisch, bei Firefox & Co muss der Anwender zuvor noch das Öffnen der Datei bestätigen. Beim c't-Emailcheck können Sie sich eine als JPG getarnte WMF-Datei zusenden lassen, die beim Öffnen ebenfalls den Windows-Taschenrechner startet. Vorsicht beim Abspeichern der Datei: Um den eingebetteten Code zu starten, genügt bereits die Verzeichnisansicht des Windows Explorers. Die Demo wurde unter Windows XP mit Service Pack 2 und allen Patches getestet.

Die einzig zuverlässige Möglichkeit, sich zu schützen, bietet derzeit ein inoffizieller Patch des IDA-Pro-Entwicklers Ilfak Guilfanov. Diesen Patch hat das Internet Storm Center einer intensiven Quellcode-Analyse unterzogen und bestätigt seine Wirksamkeit. Der provisorische Patch deaktiviert nur die Funktion zum Setzen spezieller Abbruch-Handler, die Anzeige von WMF-Dateien funktioniert weiterhin. Er lässt sich beim Erscheinen eines offiziellen Microsoft-Patches rückstandsfrei entfernen.

QUELLE


Geschrieben von soul115 am 02.01.2006 um 19:05:

 

Gerade mal getestet (Win XP Pro SP2, FF, IE, OE), mit folgendem Ergebnis:

Browsercheck:

1) Mit dem FF ... startet kein Taschenrechner, passiert gar nix
2) Mit dem IE ... gibt´s Fehlermeldung (siehe Bild 1)

Datei abgespeichert, Arbeitsplatz aufgemacht, und peng ... startet der Taschenrechner und ... eek Arbeitsplatz wird geschlossen. Datei mittels Eingabeaufforderung gelöscht Augen rollen

Emailcheck:

Ich werd´ bekloppt: OE löscht die "nicht-sichere Anlage" dumm (siehe Bild 2)


Geschrieben von dedie am 02.01.2006 um 19:15:

 

Extras-Optionen-Sicherheit bei "Speichern oder Öffnen von Anlagen usw........" den Hacken raus dann löscht OE auch nix mehr raus. großes Grinsen

PS: ist aber nicht umbedingt empfehlenwert Augen rollen


Geschrieben von dedie am 10.01.2006 um 18:13:

  WMF-Leck Reloaded

Zwei neue WMF-Exploits bringen WMF-verarbeitende Anwendungen zum Absturz, obwohl der Microsoft-Patch MS06-001 eingespielt wurde. Die jetzt aufgetauchten Demo-Bilder führen beispielsweise zum Absturz des Windows Explorer, wenn sie von ihm untersucht werden, etwa beim Löschversuch.

Bei den von Frank Ruder entdeckten Schwachstellen handelt es sich laut seiner Sicherheitsmeldung um Fehler in der Speicherverwaltung bei der Verarbeitung der manipulierten WMF-Dateien. Durch präparierte Bilder greift das GDI auf nicht alloziierte Speicherbereiche zu, was zu Zugriffsfehlern und in Folge zum Programmabsturz führt.

Wie schon bei der ersten WMF-Lücke handelt es sich hierbei nicht um klassische Pufferüberläufe. Vielmehr sind es Design-Fehler in dem 16 Jahre alten Format, die jetzt zu Problemen führen und deren Entdeckung durch Bösewichte nur eine Frage der Zeit war.

Bisher ist unklar, ob darüber auch eingeschleuster Code zur Ausführung kommen kann. Microsoft bestätigt die Abstürze und geht laut einem Eintrag im Security-Response-Center-Blog aber nicht davon aus, dass sich die Lücke zum Ausführen von Schadcode nutzen lässt; es handele sich vielmehr um ein Performance-Problem in Windows. Lediglich einige WMF-verarbeitende Anwendungen könnten sich unerwartet verabschieden.

Wie die Proof-of-Concept-Dateien jedoch belegen, lässt sich die Lücke zumindest zu einem Denial-of-Service gegen den Windows Explorer, also der zentralen Komponente für die Benutzerinteraktion einer Windows-Installation, missbrauchen. Eine auf dem Desktop abgelegte manipulierte WMF-Datei könnte so den Computer unbrauchbar machen, da der Explorer im Sekundentakt abstürzen würde. Die Taskleiste verschwindet, bis sich der Explorer neu gestartet hat, um daraufhin gleich wieder im digitalen Nirvana nach dem Rechten zu sehen; das Windows lässt sich nicht mehr benutzen.

Ruder empfiehlt in seiner Sicherheitsmeldung, wie zuvor schon bei der ersten WMF-Lücke die shimgvw.dll zu deregistrieren. Dazu muss an der Kommandozeile oder über "Ausführen" im Startmenü der Befehl

regsvr32 -u %windir%\system32\shimgvw.dll

vom Administrator ausgeführt werden.

QUELLE


Geschrieben von MobyDuck am 10.01.2006 um 18:25:

 

Golem berichtet dazu noch folgendes:

Zitat:
Vorerst plant Microsoft nicht, einen Patch zur Behebung der Sicherheitslücken bereit zu stellen. Statt dessen will der Software-Gigant die gefundenen Sicherheitslücken erst durch ein Service Pack bereinigen. Für Windows XP ist das kommende Service Pack 3 für das zweite Halbjahr 2007 vorgesehen, so dass Anwender bis zur Behebung der Fehler noch viel Geduld aufbringen müssen. Das bedeutet allerdings auch, dass Nutzer von Windows 2000 wohl dauerhaft mit dem Fehler leben müssen, denn für diese Betriebssystemversion ist kein weiteres Service Pack geplant.

http://www.golem.de/0601/42626.html

Na toll. Für XP (H) wird der Support ebenfalls Ende des Jahres eingestellt. Also lässt MS alle Kunden bis einschl. XP (H) auf Dauer im Regen stehen. Na ja, ist ja nur ein "Designfehler", der bei Befall den Rechner unbrauchbar macht. Augen rollen

edit
Link nachgetragen


Geschrieben von Vimes am 10.01.2006 um 22:35:

 

Zitat:
Original von MobyDuck
Also lässt MS alle Kunden bis einschl. XP (H) auf Dauer im Regen stehen.


Der Rest hat bis Mitte 2007 dann ja auch wenig zu lachen.

Manchmal frage ich mich, ob die Jungs eigentlich noch was merken. Oder ob da irgendeine Absicht dahinter steckt, die sich mir nur einfach nicht erschließt.
Aber die meiste Zeit über bin ich froh, daß ich auf diesen Kram nur auf der Arbeit angewiesen bin...

MfG
Vimes