Die Lücke selbst wurde am 27.12.2005 bekannt. Microsoft, F-Secure und das US-Cert lieferten am 28.12.2005 die ersten Security Advisories. Es stellte sich heraus, dass die Bibliothek SHIMGVW.dll fehlerhaft ist. Zusammen mit den besonderen Fähigkeiten der Windows Meta Files (WMF) können Angreifer problemlos beliebigen Code ausführen.
WMF-Dateien enthalten nicht nur Positionsangaben, sondern können auch unter dem Benutzerkonto „System“ spezielle Kommandos ausführen. Diese Kommandos unterliegen keinen Einschränkungen. Mit Hilfe der Escape-Funktion SETABORTPROC lässt sich beispielsweise ein Druckauftrag abbrechen. Hoch kritisch wird die Schwachstelle dadurch, dass verschiedene Windows-Komponenten wie der Bild- und Faxbetrachter oder der Internet Explorer diese Befehle automatisch ausführen. Dazu genügt es bereits, eine Vorschau der Bilder zu generieren.
Im folgenden Beitrag haben wir noch einmal alle bisherigen Informationen über die WMF-Lücke zusammengefasst. Zudem zeigen wir Schutzmaßnahmen auf, damit es erst gar nicht zu einer Infektion kommt.
Kostenloses IT-eBook diese Artikels: Die Abonnenten des kostenlosen Newsletters "tecCHANNEL Security Summary" können das PDF-eBook dieses Artikels kostenlos downloaden. Der entsprechende Download-Link wird in der Zeit von 05. Januar bis 12. Januar im Newsletter veröffentlicht. Den kostenlosen Newsletter können Sie hier abonnieren.
Infektionswege
Zunächst sah es so aus, als müsse der Nutzer die präparierte Datei selbst auf den Rechner laden und ausführen. Allerdings stellte sich kurz danach heraus, dass der Internet Explorer diese Dateien automatisch lädt und eine Vorschau erstellt. Das reicht bereits aus, um den präparierten Code auszuführen.
Zunächst wurde der Schadcode in Bildern versteckt und beispielsweise als Grußkarten oder Silvestergrüße verschickt. Inzwischen haben die meisten Hacker umgesattelt und präparieren ihre Webseiten so, dass diese den digitalen Schädling automatisch übertragen. Der Internet Explorer führt den Code im Anschluss selbstständig aus, Opera und Mozilla-basierte Browser fragen den Nutzer, ob er diese Dateien auch wirklich lokal ablegen will.
Anfällige Programme
Grundsätzlich sind alle Programme betroffen, die für die Bildverarbeitung auf die Bibliothek SHIMGVW.dll zugreifen. Das sind mitgelieferte Windows-Tools wie der Bild- und Faxbetrachter oder der Internet Explorer.
F-Secure fand heraus, dass die Google-Desktop-Suche beim Indizieren neuer Dateien ebenfalls auf SHIMGVW.dll zugreift. Das bedeutet, dass die Google-Desktop-Suche den Code der Datei bereits dann ausführt, wenn die präparierte Datei auf dem Rechner landet (tecCHANNEL berichtete).
Laut IBM ist die Groupware Lotus Notes ebenfalls betroffen, falls ein Nutzer eine entsprechende Datei direkt in Notes öffnet.
Unsere Kollegen von der PC-Welt haben einen Teil der bekanntesten Büroprogramme einem Test unterzogen. Dabei stellte sich heraus, dass Microsoft-Office-Komponenten sowie die Grafikprogramme Corel Draw und Paintshop Pro den Code nicht ausführen. Anders hingegen bei den freien Bildbetrachtern Xnview und Infraview, die keine eigene Grafikbibliothek für WMF mitbringen. Diese beiden Programme führen den Code beim Ansehen aus. Den kompletten Artikel unserer Schwesterzeitschrift finden Sie hier. Photoshop verarbeitet in der Standardversion WMF-Dateien überhaupt nicht und bricht beim Laden einer solchen Datei ab.
Gegenmaßnahmen
Microsoft arbeitet derzeit an einem Patch, der laut diesem Security Bulletin am 10. Januar veröffentlicht werden soll, falls er die Qualitätsprüfung besteht. Bis dahin können ein paar Maßnahmen eine Infektion verhindern.
-
Entfernen Sie die Verknüpfung zur SHIMGVW.dll.
Microsoft hat einen Kommandozeilenbefehl veröffentlicht, mit dem Sie die Zuordnung des Fax- und Bildbetrachters zur fehlerhaften Bibliothek lösen können. Geben Sie unter Start - Ausführen folgenden Befehl ein:
regsvr32 -u %windir%\system32\shimgvw.dll
-
Installieren Sie den Behelfs-Patch.
Der IT-Experte Ilfak Guilfanov hat ein inoffizielles Update entwickelt. Dieser Patch ändert die Funktion Escape() in der GDI32.DLL. Dadurch nimmt er den WMF-Dateien die notwendige Berechtigung zum Ausführen von Befehlen. Sowohl das Internet Storm Center wie auch F-Secure raten allen Anwendern, den Software-Flicken zu installieren. Er sei von den Experten geprüft und empfohlen worden, so F-Secure. Mehr Informationen dazu finden Sie hier, eine Liste mit Download-Mirrors gibt es auf der Webseite des Autors.
-
Filtern Sie WMF-Dateien und präparierte Webseiten.
Im Firmenumfeld sollten Sie, soweit möglich, sämtliche WMF-Dateien und Zugriffe auf präparierte Webseiten mit Hilfe der Firewall filtern. Allerdings besteht dann immer noch eine Gefahr, falls Dateiendungen beispielsweise auf jpg geändert wurden. Eine Liste mit bösartigen Domains finden Sie beispielsweise im Weblog von F-Secure.
-
Halten Sie Ihre Antivirensignaturen auf dem aktuellsten Stand.
Die Antivirenhersteller bemühen sich, sämtliche Schadprogramme zu identifizieren, die sich als WMF tarnen. Da täglich mehrere Variationen auftreten, sollten Sie Ihre Signaturen mehrmals am Tag updaten.
-
Nutzen Sie einen alternativen Browser.
Alternative Browser wie Opera, Mozilla oder Firefox führen die WMF-Dateien nicht automatisch aus, sondern verlangen einen Eingriff des Nutzers. Das bringt zumindest dann einen Schutz, wenn der Anwender nicht blind auf alles klickt. Sollten Sie auf den Internet Explorer angewiesen sein, nutzen Sie ihn nur für vertrauenswürdige Webseiten.
Fazit
Die WMF-Lücke zeigt eindrucksvoll, dass die moderne IT-Welt gegen schnell entwickelte Exploits alles andere als immun ist. Die Lücke wurde von den Malware-Programmierern schnell adaptiert, entsprechende Dateien verbreiten sich rapide. Neben dem Quellcode des Exploits sind bereits die ersten Construction Kits aufgetaucht. Damit können auch Laien einfach und schnell WMF-Dateien manipulieren.
Zu Beginn nutzten vor allem Spyware-Versender die Lücke. Inzwischen zeichnet sich aber ab, dass auch Virenentwickler auf den Zug aufspringen. Breplibot.Q beispielsweise, ein Botnet-Trojaner, der Verbindung zu einem IRC-Server aufnimmt, verbreitet sich per E-Mail als WMF-Download.
Solange Microsoft keinen Patch bereitstellt, sollten Sie extrem vorsichtig im Umgang mit WMF-Dateien sein. Sobald es etwas Neues gibt, werden Sie bei tecCHANNEL.de darüber informiert. (mja)