Microsoft: 0-Day-Lücke in DirectShow

Ende Mai hatte Microsoft selbst Informationen über eine Sicherheitslücke in DirectShow veröffentlicht, gegen die es immer noch kein Sicherheits-Update gibt. Heute meldet der Antivirushersteller McAfee eine neue Schwachstelle in DirectShow, die bereits aktiv für Web-Angriffe ausgenutzt wird. Exploit-Code für diese Sicherheitslücke ist Teil eines Angriffs-Toolkits, das derzeit in China eingesetzt wird, um Malware zu verbreiten.

Wie Sicherheitsforscher von McAfee in dessen Avert Blog berichten, wurden zahlreiche legitime chinesische Websites gehackt, darunter solche von Schulen oder örtlichen Vereinen. Die Seiten sind mit Angriffs-Code präpariert, der eine Reihe von Sicherheitslücken auszunutzen versucht. Wer eine derart verseuchte Website besucht, wird auf eine zweite, ebenfalls gehackte Website umgeleitet, was den Link auf der ersten als harmlos erscheinen lässt.

Die zweite Website ist mit einer weiteren Website unter der Kontrolle der Angreifer verknüpft, die das Exploit-Toolkit enthält. Diese überprüft nach Angaben von McAfee, ob die Zugriffe von Domains aus den Bereichen "gov.cn" oder "edu.cn" kommen. Nur wenn dies nicht der Fall ist, wird der Angriffs-Code gestartet. Dieser probiert Exploits für eine Reihe von Anwendungen, darunter Internet Explorer 6 und 7, DirectShow-ActiveX, Real Player und MDAC (MS06-014).

Im Erfolgsfall wird ein Trojanisches Pferd eingeschleust, das weitere Malware aus dem Internet lädt und installiert. Die neue 0-Day-Lücke funktioniert zumindest unter Windows XP mit dem IE 6 und 7, unter Vista sollte die Ausführung verdächtiger ActiveX-Komponenten blockiert werden. Eine Stellungnahme von Microsoft zu der neuen Anfälligkeit gibt es noch nicht. (PC-Welt/mja)