neues Sicherheitsloch in Windows entdeckt

  • Andreas
Es wurde ein neues Sicherheitsloch (sog. "Exploit") entdeckt, der Windows-PCs im Internet gefährdet.

Meldung vom 28.12.2005 11:09
WMF-Bilder infizieren Windows-PCs

Windows-Anwendern steht neues Ungemach ins Haus: Für eine bislang unbekannte Lücke in Windows ist ein Exploit aufgetaucht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert. Eine erste Seite ist auch bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schieben. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen automatisch in der Windows Bild- und Faxanzeige an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Anschließend lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite des Internet Explorers. Zudem öffnet er Pop-ups mit Angeboten für Software, die den eben installieren Trojaner wieder entfernen soll.
Anzeige

Bei einem Test der heise-Security-Redaktion mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner den Aufruf des Task Managers.
Zum Vergrößern anklicken....


Update von gestern:
29.12.2005 11:57
<< Vorige | Nächste >>
WMF-Exploit tarnt sich als Google-Grußkarte [Update]

Der gestern gemeldete Zero-Day-Exploit für eine WMF-Lücke in Windows hat sich offenbar schnell verbreitet und ist auch bereits öffentlich verfügbar. So versuchen mehrere Warez-Seiten, ihre Besucher beim bloßen Aufruf der Seite über manipulierte Bilder mit Spyware zu infizieren. Seit heute morgen kursiert auch eine angebliche Google-Mail-Grußkarte von "Claudia" mit einem präparierten Link. Ein unbedachter Klick darauf öffnet eine Seite, die ein WMF-Bild nachlädt und je nach Konfiguration automatisch in der verknüpften Anwendung anzeigt. Dabei ist es zwar grundsätzlich egal, mit welchem Browser der Anwender die Seite ansurft. Der Internet Explorer öffnet aber in der Regel ein WMF-Bild ohne Nachfrage in der Bild- und Faxanzeige, was zur sofortigen Infektion führt. Andere Browser fragen erst nach, womit das Bild geöffnet werden soll -- das konkrete Verhalten hängt vom jeweiligen System ab.
Anzeige

Ursache der Sicherheitslücke ist ein Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird -- neben der Bild- und Faxanzeige auch vom Windows Explorer und Google Desktop. Im Windows Explorer genügt bereits die Voransicht eines präparierten Bildes, um den Schad-Code zu starten. Microsoft hat zu der Sicherheitslücke ein eigenes Advisory veröffentlicht, ein Patch ist aber noch nicht in Aussicht. Außer wenig hilfreichen Standardtipps (Firewall einschalten, Updates einspielen, Virenscanner installieren) schlagen die Redmonder vor, die verwundbare Bibliothek zu deregistrieren, damit die Anwendungen sie nicht mehr aufrufen können. Für das Deregistrieren der DLL sorgt in der Eingabeaufforderung (oder unter Ausführen) der Befehl:

regsvr32 -u %windir%\system32\shimgvw.dll

Nach einem Neustart funktionieren die Bild- und Faxanzeige und alle Programme nicht mehr, die die verwundbare DLL verwenden leider gilt dies nicht nur für WMF-Dateien, sondern für alle Bilder, die mit diesen Programmen verknüpft sind. Wann Microsoft ein Update zur Verfügung stellt, ist nicht bekannt. Sobald dies aber installiert ist, kann der Anwender die Bibliothek wieder registrieren:

regsvr32 %windir%\system32\shimgvw.dll
Zum Vergrößern anklicken....


Die oben genannten Kommandozeilen-Befehle müssen in der "Eingabeaufforderung" eingetippt und mit ENTER bestätigt werden
 
  • SaSa22
  • #Anzeige
Hi Andreas :hallo: ... hast du hier schon mal geguckt?
  • mc bone
hmmmm,
deshalb habe ich seit einer woche linux.
hat keine registry......
kennt keine trojaner.....

läuft einfach rund!

war mir doch trotz sicherheitsmaßnahmen hoch 10 alles vor einer woche lahmgelegt worden?
und da ich über internet telefoniere hatte ich nur noch mein handy.

liebe grüße
helene
 
  • Marion
Danke, Andreas.

Ist WIN 98 auch anfällig dafür?
 
  • Andreas
Marion schrieb:
Ist WIN 98 auch anfällig dafür?
Zum Vergrößern anklicken....

wahrscheinlich nicht, suche mal nach der Datei shimgvw.dll - wenn du die nicht hast, kann die auch nicht aufgerufen werden :uhh:
 
  • Marion
Nö, hab ich nicht. :D

*beruhigtbin*
 
  • Andreas
nachdem die Antivirushersteller ihre Software auf de nneuesten Stand gebracht haben, erkennen nun folgende AV-Programme die "bösen Bilder":

AntiVir, Avast!, BitDefender, ClamAV, Command, Dr Web, eSafe, eTrust-INO, eTrust-VET, Ewido, F-Secure, Fortinet, Kaspersky, McAfee, Nod32, Norman, Panda, Sophos, Symantec, Trend Micro und VirusBuster erkannten nun alle 73 Samples. Nur die Scanner von QuickHeal (11 nicht erkannt), AVG (13), F-Prot (54), Ikarus (67) und VBA32 (67) ließen immer noch infektiöse WMF-Dateien unbeanstandet passieren
Zum Vergrößern anklicken....


Jeder Internetnutzer sollte umgehend gemäß Liste prüfen, ob sein sein AV-Programm alle Exploits erkennt und ggf. auf ein sicheres Produkt wechseln (wie das kostenlose ). Nur mit dem neuesten Update (nach dem 31.12.) erkennen die Programme die bösartigen Bilder.

 
  • Scotty
Mit adaware und spybot ging der Schädling vor ner Woche auch schon weg. Zonealarm hat bei mir das Schlimmste verhindert. Hatte dann zwar ne Toolbar im Explorer und die Spyware drauf aber wie gesagt, mit adaware und spybot bekam ich den Misst runter... .
 
  • Andreas
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor einer Schwachstelle im Microsoft Betriebssystem Windows, die unter Verwendung des Grafikformats "Windows Metafile" (WMF) ausgenutzt werden kann.

...
Benutzer des Internet Explorer können durch den Besuch einer Web Seite automatisch von Schadprogrammen infiziert werden, die die Sicherheitslücke ausnutzen.

...
Benutzer des Firefox können infiziert werden, wenn sie sich auf Standard-Nachfrage des Browsers dazu entscheiden, dennoch die entsprechende WMF-Datei auszuführen.

...
Bisher gibt es von Microsoft keine Patches zur Behebung der Schwachstelle.
Microsoft hat für kommenden Dienstag, den 10.01.2006, (Januar-Patchday) ein Sicherheitsupdate angekündigt, das die Sicherheitslücke beim Anzeigen präparierter WMF-Dateien schließen soll.
Die Betriebssysteme Windows 98 und Windows ME werden von Microsoft nicht mehr gewartet. Es ist nicht abzusehen, ob von dem Hersteller für diese Versionen überhaupt ein Patch zur Beseitigung der Sicherheitslücke entwickelt wird.
Zum Vergrößern anklicken....


Marion, das BSI schreibt, auch Win 98 sei betroffen ?!
 
  • Andreas
Microsoft hat eine Sicherheits-Verlautbarung ("Microsoft Security Bulletin MS06-001") herausgegeben:


Es gibt Downloads, die das Problem lösen sollen für folgenden Betrübsysteme:
Windows 2000 Service Pack 4
Windows XP Service Pack 1/ 2 711 kB großes Download "KB912919"; Neustart erforderlich
Windows XP Professional x64 Edition
Windows Server 2003
Windows Server 2003 Itanium-based
Windows Server 2003 x64 Edition – Download the update

Keine Bugfixes gibt es für:
Windows 98,
Windows 98 Second Edition (SE)
Windows Millennium Edition (ME)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Wenn dir die Beiträge zum Thema „neues Sicherheitsloch in Windows entdeckt“ in der Kategorie „Technik-Ecke“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an:
Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...

Diese Themen könnten dich auch interessieren:

Oben Unten