Vorsicht: Neue Schwachstelle bei Windows Meta Files!

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34810
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Vorsicht: Neue Schwachstelle bei Windows Meta Files!

Beitrag von doelf » 28 Dez 2005, 12:58

Ein Fehler in Windows beim Umgang mit "Windows Meta Files" (WMF) wird derzeit von Hackern dazu genutzt, Trojaner über präparierte Webseiten auf den lokalen PC hochzuladen. Die Schwachstelle befindet sich im "Windows Picture and Fax Viewer" und kann auch Auswirkungen auf die Nutzer alternativer Webbrowser haben.

Wie so oft nutzt auch dieser Angriff einen Bufferüberlauf, um Schadcode auf den lokalen PC aufzuspielen. Bisher sind zwei Server bekannt, die für die Verbreitung dieses Virus genutzt werden. Während der Internet Explorer automatisch den "Windows Picture and Fax Viewer" für die Anzeige von WMF-Dateien ausführt und somit den Downloader (Downloader-ASE/Generic Downloader.q) startet, welcher den Trojaner "Winhound" installiert, fragen alternative Webbrowser wie z.B. Firefox nach, ob der "Windows Picture and Fax Viewer" für die Anzeige der Datei gestartet werden soll. Antwortet der Benutzer mit "Ja", so ist das Ergebnis das selbe: Der PC wurde infiziert! Bisher ist noch kein Update bei Microsoft erhältlich, die Hersteller von Anti-Viren-Software haben aber zum Teil schon reagiert und ihre Definitionspakete aktualisiert.

Quelle: http://isc.sans.org/diary.php?storyid=972

HAL_9000
Special-Forces
Special-Forces
Beiträge: 657
Registriert: 16 Nov 2004, 03:09
Wohnort: Heidelberg

Workaround für wmf Lücke

Beitrag von HAL_9000 » 29 Dez 2005, 18:54

Microsoft hat einen Workaround veröffentlicht mit dem man den Angriffspunkt kurzfristig beseitigen kann.
Ursache der Sicherheitslücke ist ein Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird -- neben der Bild- und Faxanzeige auch vom Windows Explorer und Google Desktop.

In dem Workaround schlägt MS vor, die verwundbare Bibliothek zu deregistrieren, damit die Anwendungen sie nicht mehr aufrufen können. Für das Deregistrieren der DLL sorgt in der Eingabeaufforderung (oder unter Ausführen) der Befehl:

regsvr32 -u %windir%\system32\shimgvw.dll

Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind.

Rückgängig macht man das indem man die Bibliothek wieder registriert:

regsvr32 %windir%\system32\shimgvw.dll

Quellen: http://www.heise.de/security/news/meldung/67814
http://www.microsoft.com/technet/securi ... 12840.mspx

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34810
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 29 Dez 2005, 22:54

Besser als nix, aber das Gelbe vom Ei ist diese Schnellschuß leider nicht :-(

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34810
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

WMF-Schachstelle wird auf breiter Front ausgenutzt

Beitrag von doelf » 30 Dez 2005, 17:04

Die vor zwei Tagen dokumentierte Sicherheitslücke aller Windows-Systeme ab Windows 95 beim Umgang mit "Windows Meta Files" (WMF) wird in Form von manipulierten Webseiten und SPAM-Mails massenhaft ausgenutzt, um Computer mit Viren und Trojanern zu infizieren.

Die Tage zwischen Weihnachten und Neujahr sind ein beliebter Zeitpunkt, um Viren und Trojaner unter's Volk zu bringen. Zum einen sind in diesem Zeitraum besonders viele Benutzer im Internet unterwegs, zum anderen sind Service-Techniker und Administratoren oft in Urlaub, so daß nur noch eine Minimalbesetzung über die Firmenserver wacht. Da kam das WMF-Loch, dessen Ursache auch zwei Tage nach seiner Entdeckung noch nicht vollständig geklärt werden konnte, gerade richtig. Es betrifft alle Windows Betriebssysteme ab Windows 95, wer mit dem Internet Explorer oder Outlook arbeitet, braucht nur auf eine Webseite oder zum Lesen einer E-Mail gelockt zu werden, welche die Anzeige einer WMF-Datei startet und schon ist der heimische PC verseucht. Da es sich jedoch um eine Schwäche von Windows handelt, kann auch den Benutzern alternativer Webbrowser nur zu größten Vorsicht geraten werden, denn auch diese Programme können die Anzeige einer WMF-Datei veranlassen, falls der Benutzer dies gestattet. Die Hacker-Gemeinde hat diese Chance ergriffen und tausende von Webseiten mit Raubkopien und Pornos verseuchen weltweit die PCs ihrer Besucher. Hinzu kommen hunderte von SPAM-Mails - alleine heute trafen auf dem Au-Ja Mailserver knapp 200 verseuchte SPAMs ein - welche den Benutzer zum Aufruf einer WMF-Datei animieren wollen.

Da derzeit noch kein wirksamer Schutz verfügbar ist, sollte man die Anti-Virus-Software täglich aktualisieren und regelmäßig beim Microsoft Update-Center vorbeischauen. Aktuelle Informationen über diese Bedrohung finden sich im Microsoft Security Advisory (912840).
http://www.microsoft.com/technet/securi ... 12840.mspx

Wer auf Nummer sicher gehen will, kann die betroffene Bibliothek unter Windows deaktivieren. Hierzu gibt man im Start-Menu unter "Ausführen" folgenden Code ein:

"regsvr32 -u %windir%\system32\shimgvw.dll"

Danach startet man den PC neu. Alle Programme, welche diese unsichere DLL verwenden, werden nun nicht mehr funktionieren.

Da dies auch Software betreffen kann, welche der Benutzer unbedingt benötigt, muß u.U. die Bibliothek wieder aktiviert werden. Dabei wird natürlich auch die Sicherheitslücke wieder geöffnet:

"regsvr32 %windir%\system32\shimgvw.dll"

HAL_9000
Special-Forces
Special-Forces
Beiträge: 657
Registriert: 16 Nov 2004, 03:09
Wohnort: Heidelberg

Neue WMF Lücke / Hotfix verfügbar!

Beitrag von HAL_9000 » 01 Jan 2006, 20:05

Achtung!
F-Secure warnt vor "Happy New Year"-E-Mails, die als Anhang einen neuen WMF-Exploit mit sich bringen. Über einen Fehler in der Render-Engine von Windows wird beim Öffnen der als JPG-Bild getarnten Datei HappyNewYear.jpg eine Hintertür auf dem Rechner installiert. Das funktioniert, weil das proprietäre WMF-Format es gestattet, Funktionen zu registrieren und aufzurufen.

Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen womöglich nicht ansprechen. Auch von den bisherigen Exploit-Familien sind ausgefeiltere Versionen erschienen, die laut Internet Storm Center von Viren-Scannern noch nicht erkannt werden.

Weil ein offizieller Patch von Microsoft noch nicht absehbar ist, hat Ilfak Guilfanov, der Entwickler des Disassemblers IDA Pro, kurzerhand einen eigenen erstellt. Er klinkt sich in alle Prozesse ein, die die Bibliothek user32.dll laden und deaktiviert dann im Speicher den Exploit-Mechanismus. Dazu blockiert er Aufrufe der Escape-Funktion von gdi32.dll, die versuchen, den Parameter SETABORTPROC zu setzen. Damit funktioniert die Anzeige von WMF-Dateien weiterhin, die Exploits werden jedoch abgefangen. Das Internet Storm Center hat den Patch untersucht und bestätigt seine Wirksamkeit für Windows XP und 2000. Es stellt den Patch nach intensiver Analyse selbst zum Download bereit (MD5: 99b27206824d9f128af6aa1cc2ad05bc).

NICHT für Windows 2000 SP4

http://handlers.sans.org/tliston/wmffix_hexblog11.exe

Neue Version die noch NICHT vom ISC begutachtet wurde aber mit Windows 2000 SP4 funktionieren soll.

http://www.hexblog.com/security/files/w ... blog13.exe


Quellen: http://www.heise.de/security/news/meldung/67866
http://www.f-secure.com/weblog/
http://www.hexblog.com/2005/12/wmf_vuln.html

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34810
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Nächster Patchday (10.01.2006) mit WMF-Fix?

Beitrag von doelf » 03 Jan 2006, 13:47

Seit Tagen bereitet die WMF-Sicherheitslücke den Microsoft-Entwicklern ernsthafte Kopfschmerzen. Die Angriffsmöglichkeiten sind zahlreich und werden von einschlägigen Webseiten und SPAM-Mails ausgiebig genutzt. Ein Patch ist zwar erhältlich, dieser stammt jedoch nicht von Microsoft.

Nun wirft der nächste Patchday, welcher am 10.01.2006 stattfinden wird, seine Schatten vorraus. Angeblich will Microsoft an diesem Tag die WMF-Lücke mit einem eignene Update schließen. Details werden die Redmonder allerdings erst am 05.01.2006 im Rahmen der Microsoft Security Bulletin Advance Notification nennen.

http://www.microsoft.com/technet/securi ... vance.mspx

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34810
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Beitrag von doelf » 05 Jan 2006, 22:31

Microsoft has completed development of the security update for the vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release the update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing.
http://www.microsoft.com/technet/securi ... 12840.mspx

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 34810
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Sicherheitsupdate für Windows XP (KB912919)

Beitrag von doelf » 06 Jan 2006, 00:26

Microsoft scheint die ursprüngliche Planung, den WMF-Patch erst am 10.01.2005 im Rahmen des Patch-Day zu veröffentlichen, verworfen zu haben - er ist bereits über update.microsoft.com verfügbar!

Wir raten allen unseren Lesern eindringlich, diese Sicherheitslücke ernst zu nehmen und diesen Patch schnellstmöglich aufzuspielen!

Erkek

Beitrag von Erkek » 06 Jan 2006, 02:20

Jupp, für Windows 2000 habe ich eben das Update gemacht.

Benutzeravatar
XY
Troubleshooter
Troubleshooter
Beiträge: 305
Registriert: 03 Aug 2004, 16:59
Wohnort: Wien

Beitrag von XY » 06 Jan 2006, 12:13

ist schon drauf!
:twisted:
Rechtschreibfehler? Grund: Stress, Übermüdung,Alkohol, .................................

Antworten