PDA

View Full Version : Microsoft's WMF-Lücke



BlackFog
03.01.2006, 16:52
Hier mal ein paar Links zu schlau machen:

Aktuelle Heise Newsticker Meldung:
http://www.heise.de/newsticker/meldung/67912

Spielgel Online Artikel:
http://www.spiegel.de/netzwelt/technologie/0,1518,393325,00.html

Eine kleine FAQ dazu:
http://handlers.dshield.org/jullrich/wmffaq.html

Falls die Suche einen bestehenden Post dazu übersehen hat, bitte bei Sith beschweren! ;)

BlackFog

Sith
03.01.2006, 16:59
Ne, dazu steht hier noch nix :P

Voodoo
05.01.2006, 09:17
Sehr wichtiger Thread!!!!!!!

Mehrere meiner Kumpels hatten mir schon erzählt, dass als sie auf bestimmte Seiten rumsurften, plötzlich der Microsoft Picture Viewer aufging und sich direkt wieder schloss. Auf jeden Fall hatte einer darauf hin einen echt bösen Virus Troj/LanFilt-J und der andere hatte ein Rootkit aufn Rechner, der seine Tastaturanschläge aufzeichnete.

Ich hab ewig gebraucht, bis ich die Dinger weg hatte. Ein aktueller Virenkiller war auf beiden Rechner aktiv!!!

Also macht am besten das, was weiter unten in den Links steht. Ist wirklich zu empfehlen.

BlackFog
05.01.2006, 10:13
Hier der Link, wers mal ohne Nebenwirkungen überprüfen möchte:
heise Security - c't-Browsercheck (http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml)

Die letzte Meldung vom 04.01.06:
heise online - Trubel um inoffiziellen WMF-Patch (http://www.heise.de/newsticker/meldung/67951)

BlackFog

Voodoo
05.01.2006, 10:16
WMF-Exploit leicht gemacht


Verschiedene Sicherheitsunternehmen melden eine weiterhin zunehmenden Zahl von Angriffen mit präparierten WMF-Dateien. Vorwiegend werden Websites durch die Einbettung solcher Bilddateien für Angriffe auf die Ende 2005 bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) genutzt. Immer neue WMF-Dateien tauchen auf. Jetzt melden mehrere Antivirus-Firmen die Entdeckung eines Programms, das die Erstellung schädlicher WMF-Dateien wesentlich vereinfacht.

Das als "WMFMaker" bezeichnete Tool ist ein schlichtes Kommandozeilenprogramm. Es übernimmt eine im Befehlsaufruf übergebene Schadensroutine und erzeugt eine WMF-Datei mit dem Exploit-Code. Dieser basiert nach Angaben von F-Secure auf der ersten, in der letzten Woche veröffentlichten Methode zur Ausnutzung der Sicherheitslücke in Windows. Die Virenforscher von F-Secure schreiben in ihrem Weblog , die so erzeugten Dateien seien zum Teil "buggy", funktionierten also nicht richtig.

Panda Software gibt an, das Programm erzeuge WMF-Dateien mit dem Namen "evil.wmf" oder dem Dateinamen des integrierten Schädlings. Nach der Beschreibung von Panda ist WMFMaker in C++ geschrieben und etwa 52 KB groß.

McAfee hingegen gibt in seiner sehr knappen Beschreibung eine Größe von mehr als 480 KB an und verkündet, dass die mit WMFMaker erzeugten Dateien von McAfee Virusscan erkannt würden. Dies dürfte allerdings inzwischen auch auf andere Antivirus-Programme zutreffen.

Jetzt kann jeder Skript-Kiddy diesen Bug ausnutzen. Daher ist es um so wichtiger, sich vor diesen Bug zu schützen.

Voodoo
05.01.2006, 13:24
Neuigkeiten zu diesem Thema findet ihr hier (http://www.pcwelt.de/news/sicherheit/128864/).

Auf der Seite findet ihr unter anderem ein Fix für den Bug und ein Programm, mit dem ihr testen könnt, ob euer System angreifbar ist.

Sith
06.01.2006, 00:06
KB912919 - http://support.microsoft.com/kb/912919/de

Patch für Windows XP SP1/2 (http://download.microsoft.com/download/7/b/f/7bfbe5fb-0011-4efd-82e8-02fd5bfd6cf6/WindowsXP-KB912919-x86-DEU.exe)

Patch für Windows 2000 SP4 (http://download.microsoft.com/download/b/d/5/bd579181-d9fc-4610-add0-b84a74b703dc/Windows2000-KB912919-x86-DEU.EXE)

Voodoo
06.01.2006, 13:26
Das sollte sich auf jeden Fall JEDER installieren!!!

rieke
06.01.2006, 15:53
schon danone, bekomm ich jetzt nen Preis?

BlackFog
06.01.2006, 16:17
Den Spamm0r-Preis zweiten Ranges! ;) :D
@Susee: :koenig:

BlackFog

Voodoo
11.01.2006, 10:30
WMF-Leck Reloaded


Zwei neue WMF-Exploits bringen WMF-verarbeitende Anwendungen zum Absturz, obwohl der Microsoft-Patch MS06-001 eingespielt wurde. Die jetzt aufgetauchten Demo-Bilder führen beispielsweise zum Absturz des Windows Explorer, wenn sie von ihm untersucht werden, etwa beim Löschversuch.

Bei den von Frank Ruder entdeckten Schwachstellen handelt es sich laut seiner Sicherheitsmeldung um Fehler in der Speicherverwaltung bei der Verarbeitung der manipulierten WMF-Dateien. Durch präparierte Bilder greift das GDI auf nicht alloziierte Speicherbereiche zu, was zu Zugriffsfehlern und in Folge zum Programmabsturz führt.

Wie schon bei der ersten WMF-Lücke handelt es sich hierbei nicht um klassische Pufferüberläufe. Vielmehr sind es Design-Fehler in dem 16 Jahre alten Format, die jetzt zu Problemen führen und deren Entdeckung durch Bösewichte nur eine Frage der Zeit war.

Bisher ist unklar, ob darüber auch eingeschleuster Code zur Ausführung kommen kann. Microsoft bestätigt die Abstürze und geht laut einem Eintrag im Security-Response-Center-Blog aber nicht davon aus, dass sich die Lücke zum Ausführen von Schadcode nutzen lässt; es handele sich vielmehr um ein Performance-Problem in Windows. Lediglich einige WMF-verarbeitende Anwendungen könnten sich unerwartet verabschieden.

Wie die Proof-of-Concept-Dateien jedoch belegen, lässt sich die Lücke zumindest zu einem Denial-of-Service gegen den Windows Explorer, also der zentralen Komponente für die Benutzerinteraktion einer Windows-Installation, missbrauchen. Eine auf dem Desktop abgelegte manipulierte WMF-Datei könnte so den Computer unbrauchbar machen, da der Explorer im Sekundentakt abstürzen würde. Die Taskleiste verschwindet, bis sich der Explorer neu gestartet hat, um daraufhin gleich wieder im digitalen Nirvana nach dem Rechten zu sehen; das Windows lässt sich nicht mehr benutzen.

Ruder empfiehlt in seiner Sicherheitsmeldung, wie zuvor schon bei der ersten WMF-Lücke die shimgvw.dll zu deregistrieren. Dazu muss an der Kommandozeile oder über "Ausführen" im Startmenü der Befehl

regsvr32 -u %windir%\system32\shimgvw.dll

vom Administrator ausgeführt werden.

BlackFog
16.01.2006, 10:31
16.01.2006 00:07
Steve Gibson, unter anderem Betreiber des Portscan-Dienstes Shields-Up, beschuldigt in einem Podcast Microsoft, die erst kürzlich geschlossene WMF-Lücke absichtlich als Hintertür in Windows eingebaut zu haben: "Das war kein Fehler. Das ist kein fehlerhafter Code. Das hat jemand in Windows eingebaut", erklärt er und spekuliert weiter: "Falls Microsoft eine Abkürzung benötigt, einen Weg, um Code auf Windows-Systemen auszuführen, die ihre Web-Seite besuchen, hatten sie diese Möglichkeit und dieser Code gab sie ihnen." Zentrales Element seiner Argumentation ist seine Beobachtung, die fragliche SetAbortProc-Funktion könne nur mit einer bestimmten, ungültigen Längenangabe überhaupt aktiv werden. Dies sei offensichtlich ein Schutzmechanismus, der verhindern solle, dass jemand zufällig über die Hintertür stolpere.

Gibson hat insofern Recht, dass es sich bei dem WMF-Sicherheitsproblem anders als bei den meisten Lücken nicht um einen Programmierfehler handelt, der sich ausnutzen lässt, sondern um eine absichtlich eingebaute Funktion. Sie stammt aus der Zeit, als Windows kooperatives Multitasking eine solche Callback-Funktion erforderte, beispielsweise um Druckjobs abzubrechen, erläutert Stephen Toulouse, Security Program Manager bei Microsoft in einem diesbezüglichen Blog-Eintrag. Dass sich diese Funktion nur mit einer falschen Längenangabe aufrufen ließe, sei allerdings falsch: Auch korrekte WMF-Dateien können laut Toulouse SetAbortProc-Funktionen aktivieren.

Allerdings wirft auch seine Erwiderung an einigen Stellen kein allzu gutes Licht auf Microsofts Sicherheitsbemühungen. So habe man die potenzielle Gefahr dieses Metafile-Records erkannt und einige Applikationen wie der Internet Explorer werteten diese deshalb nicht selbst aus. Wie eine solche erkannte und dann wohl hoffentlich auch dokumentierte Gefahr durch die intensiven Security Reviews rutschen konnte, die man unter anderem im Zuge der Erstellung von Service Pack 2 für Windows XP vorgenommen hat, erklärt Toulouse jedoch nicht.

Dafür erläutert er nochmals, warum Microsoft keinen Patch für Windows 98/SE/ME bereitstellt, obwohl diese prinzipiell auch verwundbar sind. Die möglichen Einfallstore auf diesen Plattformen erforderten erhebliche Mitwirkung des Anwenders, was eine Einstufung als kritisches Problem nicht rechtfertige. Und nur für solche gäbe es noch Sicherheitspatches im Rahmen des Extended Support Lifecycles – und das auch nur noch bis Juni 2006. Wer gezwungen ist, weiterhin eines dieser Systeme einzusetzen kann sich nur mit Hilfe von Drittherstellern schützen. Beispielsweise bietet der Hersteller des Virenscanners NOD32 einen Patch an – allerdings ohne jegliche Gewähr.

Gibsons Backdoor-Spekulationen werden in der Security-Gemeinde jedenfalls nicht weiter ernst genommen. Dass sich Microsoft den exklusiven Zugriff auf eine hypothetische Hintertür nur durch eine falsche Längenangabe sichern würde, ist wenig wahrscheinlich. Dave Aitel von der Sicherheitsfirma Immunity geht davon aus, dass dies über richtige Krypto-Funktionen realisiert würde. Marc Maiffret, "Chief Hacking Officer" bei eEye rückt in amerikanischen Medien die Spekulationen gar in die Nähe von Hüten aus Alufolie (Tinfoil Hats), mit denen sich Paranoiker gegen Gedankenkontrolle abschirmen wollen. Trotzdem ist natürlich die Gefahr, die von den WMF-Problemen ausgeht real, und wer es noch nicht getan hat, sollte schleunigst den Microsoft-Patch einspielen.
heise online - Spekulationen über WMF-Bug als absichtliche Windows-Hintertür (http://www.heise.de/newsticker/meldung/68360)

BlackFog

Voodoo
16.01.2006, 10:38
tststststs

Voodoo
16.01.2006, 13:00
WMF-Sicherheitsloch steckt auch in Windows Vista


Microsoft veröffentlicht Patch für Vorabversionen von Windows Vista
Durch die Veröffentlichung eines Sicherheits-Updates für die in Entwicklung befindliche, kommende Windows-Version Vista steht fest, dass der Programmfehler bei der Anzeige von WMF-Dateien auch in Windows Vista steckt. Zum Jahresende 2005 wurde ein Sicherheitsloch bei der Verarbeitung von WMF-Dateien in zahlreichen Windows-Versionen bekannt.

Das Sicherheitsloch bei der Verarbeitung von WMF-Dateien kann Angreifern eine umfassende Kontrolle über ein fremdes System bescheren, sofern ein Opfer zur Anzeige solcher Vektorgrafiken gebracht wird. Anfang Januar 2006 veröffentlichte Microsoft außerplanmäßig einen Sicherheits-Patch für die Windows-Plattform, um die Lücke schnell zu schließen.

Die damaligen Informationen wiesen jedoch nicht darauf hin, dass der Fehler auch in der kommenden Windows-Version Vista enthalten ist. Dies kam nun heraus, weil Microsoft einen Sicherheits-Patch für die aktuelle Vorabversion von Windows Vista veröffentlicht hat, um die Lücke auch in dem neuen Betriebssystem zu schließen.