WICHTIG! Große Sicherheitslücke unter Windows

[Sordid]

Falls es jemand noch nicht wissen sollte - derzeit gibt es einen recht fiesen Exploit bezüglich WMF-Grafikfiles, durch die schadhafter Code auf den Rechner kommen kann.
Die ganze Geschichte gibt es hier.
Sieht wirklich nicht gut aus, da der "malicious Code" schon beim einfachen Betrachten von Grafikdateien ausgeführt wird!

Wie schütze ich mich???
Entweder du lädst dir einen inoffiziellen Patch (MS hat bislang noch NICHT reagiert, wird dies aber sicherlich demnächst nachholen) hier herunter (nicht heulen, wenn hinterher der PC brennt, ich übernehme keine Verantwortung) oder aber du gehst in den Command Prompt und schreibst da
regsvr32 -u %windir%\system32\shimgvw.dll
wobei %windir% mit dem Pfad zu Windows ersetzt werden muß, meist
c:\windows

Wie gesagt - ist kein Scherz und könnte schnell ein großes Problem werden.
Alleine die Verwendung einer Browseralternative ist übrigens KEIN Schutz.

[jkdberlin]

Wobei das Deregistrieren der Bildbetrachtungs-Treiber-Datei den Exploit nicht ganz sicher verhindert:

WMF-Exploit: Anfällige Programme
Die von Microsoft empfohlene Deregistrierung einer DLL lässt Schlupflöcher offen.



Die in der letzten Woche bekannt gewordene und zum Einschleusen schädlicher Programme ausgenutzte Windows-Sicherheitslücke beim Umgang mit WMF-Dateien beschränkt ( wir berichteten ) sich nicht auf die "Bild- und Faxanzeige". Auch mehrere Anwendungen von Drittherstellern weisen vergleichbare Fehler auf.Zusammen mit dem Testlabor AV-Test haben wir einige Stichproben mit beliebten Grafikprogrammen unter verschiedenen Windows-Versionen gemacht. Diese Tests erheben keinen Anspruch auf Vollständigkeit, sie sollen nur demonstrieren, dass die von Microsoft als Interimslösung vorgeschlagene Deregistrierung der Programmbibliothek "shimgvw.dll" keine vollständige Sicherheit vor den WMF-Exploits bieten kann.

Überprüft wurden nicht unbedingt die aktuellsten Programmversionen, da in der Praxis oft ältere Versionen installiert sind. Getestet wurde mit verschiedene Windows-Versionen von Windows NT 4.0 über Windows 98 bis XP und Server 2003.

Bei den Tests zeigt sich, dass einige Grafikprogramme wie Corel Draw (getestete Versionen: 9 und 11) und Paintshop Pro (getestete Versionen: 7.0.3, 8.10, 9.0) nicht anfällig zu sein scheinen. Während Corel Draw mit Exploit-Code präparierte WMF-Dateien klaglos öffnet, meldet Paintshop Pro einen angeblichen Mangel an Arbeitsspeicher und öffnet die Dateien nicht. Wie auch Microsoft bestätigt, sind Office-Anwendungen wie Microsoft Word nicht anfällig. Eine Stichprobe mit Open Office 1.1.5 unter Windows 2000 zeigt ebenfalls keine Auffälligkeiten.

Anders sieht es bei den kostenlosen Bildbetrachtern Irfanview und Xnview aus. Bei diesen Programmen genügt bereits der integrierte Datei-Browser, der Vorschaubilder anzeigt, um dem Exploit-Code zur Ausführung zu verhelfen. Dieser Effekt tritt auch unter Windows NT 4.0 auf, obwohl auf diesem PC keine shimgvw.dll vorhanden ist.Bei älteren Windows-Versionen wie Windows 98 oder NT ist standardmäßig keine Anwendung mit WMF-Dateien verknüpft. Unter Windows 98 und Me scheint der Exploit-Code nicht zu funktionieren, vermutlich ist der Code auf neuere Windows-Versionen angepasst. Prinzipiell existiert die Schwachstelle in der Grafikschnittstelle (GDI) von Windows seit Windows 3.0. Aus dieser Zeit stammt auch das Dateiformat WMF (Windows Meta File), dessen spezielle Eigenarten auf die damaligen Erfordernisse ausgerichtet sind. In WMF-Dateien kann Programm-Code enthalten sein, der bis heute den Start beliebiger Anwendungen ermöglicht.

Die größte Gefahr besteht bei Windows XP und Windows Server 2003, da hier im Gegensatz zu anderen Windows-Versionen standardmäßig eine Verknüpfung von WMF-Dateien mit einer Anwendung (Bild- und Faxanzeige) besteht. Sie sollten sich jedoch keineswegs sicher fühlen, wenn Sie noch mit Windows 98 oder Me arbeiten. Je nach installierten Anwendungen können auch solche darunter sein, die für die WMF-Exploits anfällig sind.

Zudem ist nicht davon auszugehen, dass Microsoft für diese Windows-Versionen noch ein Sicherheits-Update bereit stellen wird, das sich des Kernproblems annimmt. Zumindest für Windows XP und Server 2003, vermutlich auch für Windows 2000, will Microsoft am 10. Januar ein Sicherheits-Update anbieten" (PC-Welt.de)

und

"WMF-Exploit: Offizielles Sicherheits-Update kommt nächste Woche
Microsoft kündigt ein Update gegen die WMF-Lücke für den kommenden Patch Day an.



Während die Ausnutzung der in der letzten Dezemberwoche bekannte gewordenen Sicherheitslücke bei der Behandlung von WMF-Dateien weitergeht, hat Microsoft seine diesbezügliche Sicherheitsempfehlung aktualisiert. Darin gibt Microsoft bekannt, dass es am kommenden Dienstag, 10. Januar, ein Security Bulletin dazu geben wird.Das Sicherheits-Update gegen die WMF-Lücke sei fertig entwickelt und werde nun an die verschiedenen Sprachversionen von Windows angepasst. Ferner würden ausführliche Tests durchgeführt, die Qualität und Anwendungskompatibilität des Updates sicherstellen sollen.

Das Sicherheits-Update soll am regulären Patch Day in 23 Spachen zur Verfügung gestellt werden. Bis dahin empfiehlt Microsoft weiterhin die Deregistrierung der "shimgvw.dll" ( wir berichteten ) sowie die Beachtung der üblichen Vorsichtsmaßnahmen bei der Internet-Nutzung.

Wer nicht bis zur nächsten Woche warten kann oder will, kann den inoffiziellen Patch ( wir berichteten ) von Ilfak Guilfanov, Entwickler des Debuggers IDA Pro, installieren. Dieser Patch kann (und sollte) vollständig wieder deinstalliert werden, sobald ein Update von Microsoft zur Verfügung steht. Das Internet Storm Center stellt den Patch zum Download bereit.

Ferner sollten Sie Ihre Antivirus-Software stets auf dem aktuellen Stand halten. Die meisten Antivirus-Programme erkennen den überwiegenden Teil der präparierten WMF-Dateien. Überprüfen Sie, ob Ihr Virenscanner so eingestellt ist, dass er alle Dateitypen prüft, damit auch umbenannte WMF-Dateien mit Endungen wie etwa JPG, GIF, PNG, BMP oder TIF erkannt werden."

ich habe mir z.B. das hier installiert

"Ilfak Guilfanov hat nun ein Programm geschrieben, das alle Aufrufe von SetAbortProc() im Arbeitsspeicher abfangen soll. Auf diese Weise sollen normale WMF-Dateien weiterhin angezeigt, die schädlichen jedoch entwaffnet werden. Das Internet Storm Center (ISC) hat dieses Programm auseinander genommen, mit dem mitgelieferten Quelltext abgeglichen und getestet. Es wurde nach kleineren Verbesserungen für geeignet und sicher befunden. Auch der Antivirus-Hersteller F-Secure empfiehlt das Programm im Weblog seines Virenlabors .

Das ISC stellt das Programm auch selbst zum Download bereit . Dies ist ein eher unüblicher Schritt und nicht unbedingt das, was der PC-Doktor normalerweise empfiehlt. Aber ungewöhnliche Situationen erfordern zuweilen ungewöhnliche Maßnahmen. Nach Einschätzung des ISC können und sollten Anwender nicht warten, bis Microsoft ein Update liefert, das die Lücke schließt - womöglich erst zum nächsten Patch Day am 10. Januar." (PV-Welt)

den gibt es hier: http://handlers.dshield.org/jullrich/wmffaq.html

Grüsse

[Sordid]

Wobei das Deregistrieren der Bildbetrachtungs-Treiber-Datei den Exploit nicht ganz sicher verhindert:

Leider absolut richtig, deshalb ja auch bei mir der Link zum Patch.

Das kann noch was werden - wenn sogar Würmer, die die absolute Dummheit einiger Leute ausnutzen, so viel Erfolg haben (Wir laden Sie ein zur Millionenshow, bitte öffnen Sie diese EXE), dann wird dieses Ding ganz böse einschlagen.

[martin.schloeter]

In diesem speziellen Fall ist man mit Linux als Surf-Plattform da sicher.

Wer das nicht in tuto betreiben will kann sich mit dem kostenfreien VMWare Player http://www.vmware.com/products/player/ und einer entsprechenden Browser-Appliance VM http://www.vmware.com/vmtn/vm/browserapp.html schmerzfrei eine sichere Surfumgebung bauen.

Gruss

[jkdberlin]

VMWare-Player ist sowie die Macht

Grüsse

[Sordid]

Virtual Machine ist wirklich cool - aber für solche Kleinigkeiten irgendwie ein wenig zu umständlich.

[martin.schloeter]

@Sordid
Das ist so aber ganz gut praktikabel. Wenn du die VM nach Verwendung nur mit "Suspend" parkst anstelle komplett runterzufahren, fährt die annähernd so schnell wieder hoch wie man auch braucht um den Browser zu starten.

Ansonsten gewinnt man schon viel indem man
* Nicht in alter Windows-Angewohnheit mit Administratorrechten surft, sondern sich ein Konto mit ganz normalen Benutzerrechten für den Alttagsbetrieb anlegt und verwendet.
* Einen Alternativbrowser verwendet.

Der WMF-Exploit ist da eine der Ausnahmen, weil die entsprechende DLL praktisch von jedem verwendet wird.

Ciao

[jkdberlin]

Zu dem Thema noch von PC-Welt:

"WMF-Exploit: Microsoft aktualisiert Sicherheitsempfehlung
Microsoft hat seine Sicherheitsempfehlung für den WMF-Exploit aktualisiert. Mit der Aktualisierung bittet Microsoft die Anwender um Geduld. Der Patch, der die gefährliche Lücke schließen soll, wird wie geplant am 10. Januar am Patch-Day erscheinen. Von der Nutzung des inoffiziellen Patches rät Microsoft dagegen ab.



Microsoft hat seine Sicherheitsempfehlung zum WMF-Exploit aktualisiert, deren erste Fassung Ende Dezember online gegangen war. Aktualisiert wurde die FAQ um zwei neue Einträge, in denen Microsoft Stellung bezieht zu dem kürzlich veröffentlichten inoffiziellem Patch, der die Lücke schließen soll."Als eine generelle Regel empfiehlt es sich Sicherheits-Updates für Sicherheitslücken vom Original-Hersteller zu verwenden", rät Microsoft und fügt hinzu, dass man bei Microsoft die Updates sorgfältig teste, vor allem hinsichtlich der Kompatibilität zu anderen Applikationen. Zudem würde es den offiziellen Patch auch gleich in 23 Sprachversionen geben. Daher empfiehlt Microsoft den Anwendern bis zum Erscheinen des Sicherheitsupdates am 10. Januar zu warten und nicht den inoffiziellen Patch ( wir berichteten ) zu installieren.

In einem weiteren, neuen Eintrag in der FAQ beziehen die Redmonder Stellung zu der im Internet aufgetauchten Pre-Release-Version des offiziellen Patches. "Die Pre-Release-Version des Updates wurde unbeabsichtigt auf einer Sicherheits-Community-Site veröffentlicht", so Microsoft. Anwender sollten alle Hinweise über den Patch ignorieren und bis zur offiziellen Veröffentlichung warten.

Auch wenn Microsoft zur Geduld rät, stecken die Anwender in der Zwickmühle. Die Sicherheitslücke ist seit Tagen bekannt und wird für Angriffe ausgenutzt. Mit der weiterhin offiziell patchlosen Zeit nimmt die Gefahr ständig zu. Da fällt es schwer sich in Geduld zu üben, vor allem dann, wenn es bereits eine, wenn auch inoffizielle, Lösung für das Problem gibt. In seiner FAQ erläutert Microsoft zwar, dass die Entwicklung eines Patches aufwendig sei, allerdings hilft dies den Anwendern herzlich wenig.

Inzwischen warnt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Sicherheitslücke.

Der Ansturm auf den inoffiziellen Patch hatte dafür gesorgt, dass die Seite des Entwicklers Ilfak Guilfanov (Hexblog.com), zusammengebrochen war und mittlerweile nur in einer Notfassung online ist. Alternativ wird mittlerweile auch eine bereits aktualisierte Fassung (inklusive MSI-Installer) des Patches beim Internet Storm Center hier zum Download angeboten . Der Patch lässt sich später, wenn der offizielle Patch erscheint, über "Systemsteuerung, Software" wieder deinstallieren.

Das Internet Storm Center rät weiterhin zur Installation des inoffiziellen Patches. Sollten Sie dieser Empfehlung folgen, dann sollten Sie den inoffiziellen Patch deinstallieren, bevor Sie in der kommenden Woche dann den offiziellen Patch installieren."

und

"WMF-Exploit leicht gemacht
Das Programm WMFMaker ermöglicht die Erstellung von WMF-Dateien mit beliebigen Schadensroutinen.



Verschiedene Sicherheitsunternehmen melden eine weiterhin zunehmenden Zahl von Angriffen mit präparierten WMF-Dateien. Vorwiegend werden Websites durch die Einbettung solcher Bilddateien für Angriffe auf die Ende 2005 bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) genutzt. Immer neue WMF-Dateien tauchen auf. Jetzt melden mehrere Antivirus-Firmen die Entdeckung eines Programms, das die Erstellung schädlicher WMF-Dateien wesentlich vereinfacht.Das als "WMFMaker" bezeichnete Tool ist ein schlichtes Kommandozeilenprogramm. Es übernimmt eine im Befehlsaufruf übergebene Schadensroutine und erzeugt eine WMF-Datei mit dem Exploit-Code. Dieser basiert nach Angaben von F-Secure auf der ersten, in der letzten Woche veröffentlichten Methode zur Ausnutzung der Sicherheitslücke in Windows. Die Virenforscher von F-Secure schreiben in ihrem Weblog , die so erzeugten Dateien seien zum Teil "buggy", funktionierten also nicht richtig.

Panda Software gibt an, das Programm erzeuge WMF-Dateien mit dem Namen "evil.wmf" oder dem Dateinamen des integrierten Schädlings. Nach der Beschreibung von Panda ist WMFMaker in C++ geschrieben und etwa 52 KB groß.

McAfee hingegen gibt in seiner sehr knappen Beschreibung eine Größe von mehr als 480 KB an und verkündet, dass die mit WMFMaker erzeugten Dateien von McAfee Virusscan erkannt würden. Dies dürfte allerdings inzwischen auch auf andere Antivirus-Programme zutreffen."

Grüsse

[Sordid]

Martin,
du predigst da dem Chor! He, ich kann meinen Rechner zuhause sogar in BeOS booten, wenn ich lustig bin.
Allerdings ist VMWare halt doch ein Memory Hog, und den zu parken kostet massiv Ressourcen. Mag für den reinen Surfer und Mailer in Ordnung sein, aber wenn dann nebenher eine fette Anwendung gestartet werden sollte, dann ist das nicht zu verzeihen.

[martin.schloeter]

Martin,
du predigst da dem Chor! He, ich kann meinen Rechner zuhause sogar in BeOS booten, wenn ich lustig bin.

Ich sah in dir nicht die Zielgruppe für die Tips.

Allerdings ist VMWare halt doch ein Memory Hog, und den zu parken kostet massiv Ressourcen. Mag für den reinen Surfer und Mailer in Ordnung sein, aber wenn dann nebenher eine fette Anwendung gestartet werden sollte, dann ist das nicht zu verzeihen.

Vielleicht kommen die Leute dann auf den Dreh die Kohle in die Speicherausstattung statt in die neueste Grafikkarte für ihre gekofferten, virenverseuchten Games zu stecken.

Gruss

[blob]

In meinem Computer siehts so aus:

#fdisk -l

Disk /dev/hda: 163.9 GB, 163928604672 bytes
255 heads, 63 sectors/track, 19929 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 8500 68276218+ 83 Linux
/dev/hda2 8501 12500 32130000 83 Linux
/dev/hda3 12501 13500 8032500 83 Linux
/dev/hda4 13501 19929 51640942+ 5 Extended
/dev/hda5 13501 13900 3212968+ 83 Linux
/dev/hda6 13901 14200 2409718+ 83 Linux
/dev/hda7 14201 14450 2008093+ 83 Linux
/dev/hda8 14451 14900 3614593+ 83 Linux
/dev/hda9 14901 17199 18466654+ 83 Linux
/dev/hda10 17200 19800 20892532+ 81 Minix / old Linux
/dev/hda11 19801 19929 1036161 be Solaris boot

ALTLinux, Slackware-Linux, Mandrake-Linux, ... Solarix, Minix. Windows-nix. Kann da der Virus auch reinkommen ??
Ausserdem immer root ohne password benutzen: # passwd -d root. Da findet selbst john-the-ripper nix !

[Killer Joghurt]

ich versteh nur bahnhof was soll ich jetzt machen als unkundiger?

[Kouhei]

ich versteh nur bahnhof was soll ich jetzt machen als unkundiger?

Danke!!! Ich dachte schon ich sei der Einzige

[BOodidarma]

Danke!!! Ich dachte schon ich sei der Einzige

Ich cheks irgendwie auch nicht

[Kudos]

ich versteh nur bahnhof was soll ich jetzt machen als unkundiger?

1. Keine Panik (es muss erstmal jemand Dir eine schadhafte WMF-Datei vorsetzen, wobei das auch schnell gehen kann. Hier handelt es sich doch um eine Möglichkeit, es steht nirgends, dass schon Würmer, Trojaner ... damit unterwegs sind, oder?)

2. Wenn Du englisch kannst, lies Dir die FAQ unter dem angegebenen Link durch (http://handlers.dshield.org/jullrich/wmffaq.html) dort steht eigentlich alles ganz gut drin. Wenn Du ein betroffenes Betriebssystem benutzt:

3. Warte auf den offiziellen Patch von Microsoft oder installiere das http://handlers.sans.org/tliston/wmffix_hexblog14.exe.

4. Update und benutze einen neuen Virusscanner (kann muss aber nichts bringen).

VMs würde ich keinem Laien zumuten. Benutzen hier manche tatsächlich eine VM nur zum surfen?