Damaschkes Daily abonnieren (RSS 2.0)
Von Bildern und Ausbeutern
Kurz vor Jahreswechsel machte der so genannte “WMF-Exploit” die Runde, der an dieser Stelle schon einmal thematisiert wurde. Zu diesem Zeitpunkt war noch relativ wenig über dieses Sicherheitsproblem bekannt, inzwischen gibt es neue Informationen, die ich Ihnen natürlich nicht vorenthalten will.
Was ist eigentlich ein “Exploit”?
Wörtlich übersetzt ist ein “Exploit” eine “Ausbeutung” oder “Ausnutzung”. Gemeint sind damit Schadensprogramme, die sich eine Lücke oder einen Fehler in einem anderen Programm zunutze machen (also diese Lücke “ausbeuten”), um ihren sinistren Zwecken nachzugehen.
Beim aktuellen WMF-Problem spricht man von einem “Zero-Day-Exploit”, was für Sicherheitsexperten die schlimmstmögliche Situation ist: Ein Sicherheitsproblem wird bekannt und zeitgleich (also mit Null Tagen Vorwarnzeit) kursieren die ersten “Exploits” dieser Lücke im Internet.
Was passiert beim WMF-Exploit?
Beim WMF-Exploit wird eine Schwachstelle in der Windows Bild- und Faxanzeige ausgenutzt, mit der WMF-Dateien standardmäßig verknüpft sind. Dabei handelt es sich um eine DLL-Datei (shimgvw.dll), die von verschiedenen Programmen benutzt wird, um mit WMF-Dateien umzugehen.
Durch eine speziell präparierte WMF-Datei ist es nun möglich, die Schwachstelle in shimgvw.dll auszunutzen, um beliebigen, ausführbaren Code auf den Computer zu schmuggeln. Derzeit sollen dabei keine Viren oder Würmer (also reine Schadensprogramme) eingeschleust werden, sondern Trojaner und Spyware, also Programme, die sich unbemerkt im System einnisten, um den Datenverkehr zu belauschen.
Dabei handelt es sich um die gefährlichere Variante. Denn ein Virus oder ein Wurm kann schlimmstenfalls Daten zerstören. Schnüffelsoftware dagegen zerstört nicht, sondern stiehlt. Und mit gestohlenen sensiblen Daten lässt sich ein sehr viel größerer Schaden anrichten, als ihn eine zerstörte Festplatte darstellt.
Wie wird ein Rechner Opfer eines WMF-Exploit?
Wie sieht der Infektionsweg beim WMF-Exploit aus? Ganz einfach: Man öffnet eine präparierte WMF-Datei mit der Bild- und Faxanzeige. Das passiert in verschiedenen Situationen, hauptsächlich aber, wenn man eine WMF-Datei doppelklickt oder wenn der Internet Explorer auf eine WMF-Datei stößt. Der IE übergibt eine solche Datei ohne Rückfragen an die entsprechende DLL-Datei und zeigt das Bild an. Im Falle des Exploits heißt das: Der Rechner wird infiziert.
Es gibt vor allem zwei Wege, wie so eine Datei auf einen Rechner gelangt. Zum einen als Dateianhang, zum anderen über eine Webseite.
Der WMF-Exploit verbreitet sich schnell
Ich hab selbst erlebt, wie schnell man auf solche Webseiten gerät. Kurz vor Jahreswechsel habe ich ein wenig im Netz nach passenden Bildern und Animationen gesucht, um meinen Bekannten digitale Neujahrsgrüße zu schicken.
Dergleichen findet sich im Netz ja zuhauf – allerdings stolpert man dabei auch immer wieder über Webseiten, die man normalerweise nicht besuchen würde. Bei meinen Abstechern in diese Grau- und Rotlicht-Bezirke des Internet passierte es dann gleich mehrfach: Mein Browser – Firefox 1.5 auf einem Mac-Powerbook – öffnete unvermittelt ein Dialogfenster und meldete:
“You have chosen to open wmf_exp.wmf, which is a Windows Metafile. What should Firefox do with this file?”
Da war er also, der WMF-Exploit, über den ich tags zuvor noch geschrieben hatte.
Und dass er mir über den Weg lief, war kein Zufall. Denn die Information über die Verwundbarkeit von Windows-Systemen mit einer WMF-Datei verbreitet sich in einschlägigen Kreisen rasend schnell. Sicherheitsexperten haben inzwischen mehr als 50 Exploit-Varianten ausgemacht, die auf mehreren Tausend Webseiten auf ihre Opfer lauern.
Dabei sind natürlich Angebote, die viele Besucher anlocken – zum Beispiel Seiten mit kostenlosen Neujahrswünschen – eine besonders beliebte Tarnung und daher ist die Wahrscheinlichkeit, dort auf eine Exploit zu stoßen, besonders hoch.
Wie schützt man sich vor dem WMF-Exploit?
Nach so vielen eher schlechten Nachrichten, kommt jetzt endlich eine gute: Viele Antiviren-Programme wurden inzwischen aktualisiert und erkennen den WMF-Exploit. Die oberste und wichtigste Sicherheitsregel lautet also auch hier: Sorgen Sie dafür, dass Sie mit einem aktuellen Antivirenprogramm arbeiten!
Microsoft hat das Problem inzwischen auch offiziell bestätigt und arbeitet an seiner Lösung. Derzeit (1. Januar 2005, 19:23 Uhr) lautet der Status bei Microsoft allerdings noch “under investigation”. Immerhin ist laut Microsoft das Haupteinsatzgebiet von WMF-Dateien nach wie vor unbedenklich: Nämlich die Einbindung solcher Grafiken in Word-Dokumente.
Leider stellt Microsoft noch kein Patch zur Behebung des Problems bereit, aber es gibt einen offiziellen “Workaround”: Melden Sie WMF-Dateien im System ab. Damit sind entsprechend präparierte Dateien nach wie vor gefährlich, aber die automatische Verknüpfung von WMF-Dateien mit shimgvw.dll wird gelöst und potentiell gefährliche Dateien werden nicht mehr automatisch geöffnet.
Dazu empfiehlt Microsoft folgendes Vorgehen:
- Klicken Sie auf “Start / Ausführen”
- Geben Sie “regsvr32 -u %windir% \system32 \shimgvw.dll” ein (ohne die Anführungszeichen.
- Klicken Sie auf OK.
Um diese Änderung rückgängig zu machen, geben Sie bei “Start / Ausführen” das Kommando “regsvr32 %windir% \ system32 \ shimgvw.dll” ein (ebenfalls ohne Anführungszeichen.
Microsoft Security Advisory zum WMF-Exploit
Angesichts eines so drastischen Vorgehens bleibt einem eigentlich nur die Hoffnung, dass Microsoft möglichst schnell einen Patch parat hat