DirectShow 0-Day-Exploit nach wie vor aktiv

In höchster Eile hatte Microsoft vor wenigen Wochen eine hochkritische Sicherheitslücke in DirectShow geschlossen, die über die Funktion MPEG2TuneRequest die Einspeisung beliebigen Schadcode erlaubte. Die als behoben geglaubte Schwachstelle erwacht jedoch nun zu neuem Leben: Spezialisten auf der BlackHat Konferenz demonstrieren eine erfolgreiche Attacke trotz aktivem Patch.

Eine Preview der Attacke haben die Experten bereits als Video im Internet veröffentlicht. Die Methode: Sperren, wie Killbits, lassen sich gezielt durch eine Manipulation der Angriffsvektoren umgehen. Im Video stellen sie den klassischen MPEG2TuneRequest Exploit vor, der auf dem gepatchten Testsystem - wie geplant - abgefangen wird. Die modifizierte Variante durchschlägt jedoch den Killbit-Schutzmechanismus und führt ein beliebiges Programm aus. (vgw)