Achtung: WMF-Bilder infizieren Windows-PCs

WMF-Bilder infizieren Windows-PCs

Windows-Anwendern steht neuer Ärger ins Haus... Eine bisher noch unbekannte Lücke in Windows hat einen Exploit zum Vorschein gebracht, der über ein manipuliertes Bild im WMF-Format den Rechner mit Spyware und Trojanern infiziert.

Diese Kumpels bringt er mit:

Trojan-Downloader.Win32.Agent.abs
Trojan-Dropper.Win32.Small.zp
Trojan.Win32.Small.ga
Trojan.Win32.Small.ev.

Eine Seite im Netz ist bereits aktiv dabei, Besuchern Schädlinge auf die Platte zu schaufeln. Der Exploit lädt beim Aufruf einer präparierten Webseite mit dem Internet Explorer das Bild nach und zeigt es, je nach Konfiguration, unter Umständen ohne dies zu wünschen in der Windows Bild- und Faxanzeige an. Dabei gelingt es dieem Exploit wohl auch Schadcode ins System zu schleusen und mit den Rechten des Anwenders auszuführen. Ist der Anwender auch Admin, so hat der böse Bube leichtes Spiel...

Dann geht die Troja-Party weiter, er lädt der Schadcode in Form von mehreren DLLs nach und verbiegt die Startseite des Internet Explorers. Dem noch nicht genug beginnt er nun PopUps zu öffnen mit Angeboten für Software, die den eben installieren Trojaner natürlich wieder entfernen soll, eine beliebte "Erpresser-Masche".

Bei einem Test der heise-Security-Redaktion, der Quelle, mit Windows XP SP2 fand zwar der mitlaufende Virenscanner von H+BEDV die nachgeladenen Dateien und schob sie in die Quarantäne, den eigentlichen Downloader erkannte er jedoch nicht.

Zudem sperrte der Trojaner den Aufruf des Task Managers, eine unschöne Sache, denn der Prozess könnte nun nicht beendet werden. Bei der Analyse des manipulierten WMF-Bildes mit Virustotal fand nur der Scanner von Symantec einen Trojan-Downloader. Nach Angaben des Internet Storm Centers soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor eine Ausnahme der Datenausführungsverhinderung (Data Execution Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres funktioniert.

Da für diese neue Lücke noch kein Patch zur Verfügung steht und auch noch nicht klar ist, worauf die Sicherheitslücke beruht, sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen). Zwar startet nur der Internet Explorer die verknüpfte Anwendung automatisch, aber auch Nutzer alternativer Browser sind potenziell gefährdet, sofern sie den Dialog zum Öffnen des Bildes bestätigen.

Siehe auch:

Blogeintrag von F-Secure: http://www.f-secure.com/weblog/archive…5.html#00000752

Meldung des Internet Storm Center: http://isc.sans.org/diary.php?storyid=972

Also, aufpassen ist angesagt!!!

Ach ja, mein McAfee hat seltsamerweise schon gestern reagiert: http://vil.mcafeesecurity.com/vil/content/v_137760.htm

Dennoch ist die Meldung des Exploit erst von heute...

Quelle: http://www.heise.de

Das mit McAfee sagte ich ja schon...

Ferner kann auch ein Sicherheitsupdate nicht lebenslang halten.

Wer es testen will, ob der MS-Patch hält, was er verspricht, der kann gerne die Seite besuchen, die diese fiese Masche durchzieht.

Der Link ist verstümmelt hier drinm auch den Link setzte ich schon: http://isc.sans.org/diary.php?storyid=972

Einfach die Leerzeichen weg und die Seite besuchen...viel Erolg...

Ich helfe noch bis gegen 20:30 Uhr...

Unsere gestrige NEWS sagte s ja schon, WMF-Bilder infizieren Windows-PCs.

Kaum ist ein Tag vergangen, so hat sich dieser Schädling explosionsartig ausgebreitet.

Gerade diese häufig illegalen Warez-Seiten entpuppen sich als
gefährliche Viren- und Trojaner-Schleuder. Dort ist das WMF-Problem auch beheimatet.

Des Weiteren geistert eine Grußkarte von Google durch das Netz mit Absender oder Betreff "Claudia". Hier wird das WMF-Bild nach anklicken der Grußkarte soofrt nachgeladen.

Es gibt noch immer keinen Patch, bitte beachten!

Hauptsächlich trifft es Rechner mit dem Internet Explorer, da dieser ungefragt das WMF in der Windows Bild- und Faxanzeige öffnet.

Andere Browser fragen nach, die Systeme sind aber ebenso gefährdet!

Microsoft rät die Firewall aktiv zu halten, Virenschutz ebenso und alles auf dem neuesten Stand! Mein McAfee hat heute wieder nachgeladen...Claudia, du kannst kommen... :wink:

Hier die Microsoft-Hilfe: http://www.microsoft.com/germany/window…lgemein/ie.mspx

WMF - Weitere Details zur Lücke - Neverending Story?

Diese widerwärtige WMF-Sicherheitslücke und deren Auswirkungen beschäftigt weiterhin Anwender und Sicherheitsspezialisten. Ursache: Weiterhin unklar. Ein Advisory des US-CERT ( http://www.us-cert.gov/cas/techalerts/TA05-362A.html ) will einen Buffer Overflow als Ursache ausgemacht haben.

Secunia jedoch beschreibt spezielle WMF-Eigenschaften, die der Exploit missbraucht. So bestehen WMF-Bilder nicht nur aus reinen Vektor- und Rasterdaten, sondern aus einer Serie von Befehlen an das Graphics Device Interface (GDI). Diese Befehle unterliegen dabei keinerlei Einschränkungen.

Leider verarbeitet die GDI aber auch Befehle (Escape-Funktionen) zur Interaktion von Bildern mit Systemressourcen. So stoppt die Escape-Funktion SETABORTPROC etwa einen Druckauftrag. Da die Escape-Funktionen der GDI vollen Zugriff auf das System haben und das WMF-Bild quasi Vollzugriff auf die GDI, kann ein manipuliertes Bild beliebigen Code in das System schleusen und auch starten. Im aktuellen Fall führt die Escape-Funktion aufgrund eines Verarbeitungsfehlers den in die präparierten Bilder eingebetteten Schad-Code direkt aus. Das aber spricht nicht gegen einen Buffer Overflow: Immerhin schlägt auf Windows-Systemen mit XP SP2 und AMD64-Prozessor die Datenausführungsverhinderung (DEP) an und verhindert die Infektion des Systems.

Was aber tun? Antivirenprogramme suchen per Heuristik nach SETABORTPROC-Sequenzen in Bildern, das ist aber nicht alles, denn da hat man den Mist ja schon auf dem PC. Und dabei prüfen die Proggis aber auch nicht, ob wirklich Schadcode vorhanden ist. Auf die gleiche Weise versuchen auch die Hersteller von sogenannter Intrusion-Detection-Systemen ihre Netze zu schützen. Da SETABORTPROC aber eine dokumentierte Funktion ist, kann sie durchaus auch in harmlosen Bildern vorkommen, und nun?

Microsoft hat sein Advisory gestern noch einmal aktualisiert. In Word-Dokumenten eingebettete Bilder stellen nach Meinung der Redmonder keine Bedrohung dar, bei der MSN-Desktop-Suche prüft man derzeit noch.

IBMs Lotus Notes soll die verwundbare Bibliothek SHIMGVW.DLL benutzen, sogar dann, wenn der Anwender diese deregistriert hat, its a IBM, not a SONY...

Als Workaround empfehlen einige CERTs, an den Gateways alle Grafiktypen zu blocken, denn das bloße Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

Microsoft hat also eine Menge zu tun, die Lücke im IE ist auch noch nicht gänzlich geschlossen...Urlaub ist gestrichen, oder?

Microsofts Advisory: http://www.microsoft.com/technet/securi…ory/912840.mspx

Quelle: http://www.heise.de

Meldung im Zusammenhang ab Seite 1...

Warnung: WMF - Neujahr = Neuer Exploit

Published: 2006-01-01,
Last Updated: 2006-01-01 02:55:47

New exploit
On New Year's eve the defenders got a 'nice' present from the full disclosure community.

WMF-Exploit kommt nun auch via E-Mail
F-Secure meldet, dass nun ein neuer WMF-Exploit via E-Mail die Runde macht.

Eine neue Spam-Mail macht die Runde, die Windows-PCs noch leichter infizieren kann. Diese Mails beinhalten eine neue Variante des WMF-Exploits, der mit den beiden vorher entdeckten überhaupt nichts zu tun hat, was auch die nachfolgenden Zeilen zeigen sollen.

Betreff der Mails „Happy New Year“, Inhalt der Nachricht „picture of 2006“

Anhang „HappyNewYear.jpg“.

Sobald diese Datei geöffnet wird, lädt diese die Backdoor Backdoor.Win32.Bifrose.kt sehr wahrscheinlich von der URL www[dot]ritztours.com herunter. Sicherheitsexperten raten allen Administratoren diese URL sofort in der Firewall zu blockieren

Weitere Meldungen geistern durchs www, ich versuche mal zu filtern.

Zitat von SANS

The source code claims to be made by the folks at metasploit and xfocus, together with an anonymous source.

Note: We have been able to confirm that this exploit works. We are in the process of getting information to AV vendors ASAP. We can also confirm that having the file and simply opening the directory can be enough to get the exploit running.

The exploit generates files:

with a random size;
no .wmf extension, (.jpg), but could be any other image extension actually;
a random piece of junk in front of the bad call; carefully crafted to be larger than the MTU on an ethernet network;

a number of possible calls to run the exploit are listed in the source;

a random trailer
From a number of scans we did through virustotal, we can safely conclude there is currently no anti-virus signature working for it. Similarly it is very unlikely any of the IDS signatures for the previous versions of the WMF exploits work for this next generation.

Judging from the source code, it will likely be difficult to develop very effective signatures due to the structure of the WMF files

Alles anzeigen

Zitat von McAfee

Virus Characteristics

-- December 31, 2005 --
Source code for a tool that creates Exploit-WMF files has been posted to the web. This source creates malicious WMF files that exploit the vulnerability in a slightly different way than previous ones. While generic detection has existed since the discovery of Exploit-WMF, this new code requires the first adjustment to that detection in order to cover some exploits that may be created by this source code. The updated detection has been released in the 4664 DAT files.

-- Update 1 --
An email message containing an Exploit-WMF sample built from this new code has been spammed. The message appears as follows:

Subject: Happy New Year
Body: picture of 2006
Attachment: HappyNewYear.jpg (actually a WMF file with a .JPG extension)

The attachment causes a new BackDoor-CEP variant to be downloaded and run from http://www.ritztours.com.

-- Update 2 --
Due to the serious nature of the WMF vulnerability and recent discovery of new exploit code, the 4664 DAT files were released out of cycle to detect these new Exploit-WMF samples.

Alles anzeigen

Dal MS immer noch keinen offiziellen hat, hat Ilfak Guilfanov, der Entwickler des Dissamblers IDA Pro, kurzerhand einen eigenen erstellt. Dieser klinkt sich in alle Prozesse ein, die die Bibliothek user32.dll laden und deaktiviert somit im Speicher den Exploit-Mechanismus.

Hierfür blockiert er Aufrufe der Escape-Funktion von gdi32.dll, die versuchen, den Parameter SETABORTPROC zu setzen. Damit funktioniert die Anzeige dieser WMF-Dateien weiterhin, die Exploits werden jedoch abgefangen. Das sogenannte Internet Storm Center hat den Patch untersucht und bestätigt seine Wirksamkeit für Windows XP und Windows 2000. Download: http://handlers.sans.org/tliston/wmffix_hexblog11.exe

Quelle: Bit und http://isc.sans.org/diary.php?storyid=992

Security Advisory KB912840

Das oben genannte Security Advisory KB912840 ist laut Microsoft derzeit schon überarbeitet. Pünktlich zum Patchday wird somit die WMF-Porblematik hoffentlich der Vergangenheit angehören.

Originalmeldung von MS:

http://www.microsoft.com/technet/securi…ory/912840.mspx

Das Security Advisory KB912919 ist da - MS06-001

Das oben genannte Security Advisory KB912919 ist laut Microsoft derzeit schon mehrfach überarbeitet und tauglich, weshalb der sofortige Dwonload möglich ist.

Somit, nicht erst wie erwartet zum Patchday, wird die WMF-Problematik hoffentlich der Vergangenheit angehören.

ACHTUNG HINWEIS:

Wer sein System mit dem inoffiziellen Patch gesichert oder in der Registry ÄNderungen vorgenommen hat, der muss diese Änderungen vor einspielen des Updates rückgängig machen!

Bitte die Windows-Update-Seite besuchen. Auch wenn wie bei mir automatische Updates eingestellt ist, so ist das keine Garantie, dass man den Patch sofort erhält! MS lässt sich auch gerne mal ein paar Tage Zeit, das kann ein Tag zu viel sein...

Quelle: http://www.microsoft.com

Meldung zum Patch: http://www.microsoft.com/technet/securi…n/ms06-001.mspx