Sicherheitslücke in WMF-Bildern

Seit gestern macht eine bisher unbekannte Sicherheitslücke des „Windows Metafile“-Formats die Runde. Der Exploit erlaubt es, WMF-Bilder so zu manipulieren, dass sie beim Aufruf den Rechner des Anwenders mit Spyware und Trojanern infizieren. Einen Patch gibt es bislang noch nicht.

Betroffen von dem Problem sind Rechner mit installiertem Windows XP oder Windows Server 2003. Der Fehler ist unabhängig vom verwendeten Browser, jedoch sind Nutzer des Internet Explorers anfälliger gegenüber der Sicherheitslücke. Der IE öffnet WMF-Bilder ohne Nachfrage mit der Windows Bild- und Faxanzeige, während andere Browser in der Regel vorher erfragen, mit welchem Programm das Bild geöffnet werden soll. Das konkrete Verhalten ist aber vom jeweiligen System abhängig.

Inzwischen gibt es mehrere Webseiten, die die Sicherheitslücke ausnutzen. So versuchen beispielsweise Warez-Seiten, ihre Besucher über manipulierte Bilder mit Spyware zu infizieren. Eine angebliche Google-Mail-Grußkarte, welche seit heute morgen im Umlauf ist, enthält einen Link auf eine präparierte Website. Besucht der Anwender diese, lädt der Exploit das manipulierte Bild nach und zeigt es je nach Browser automatisch in der Bild- und Faxanzeige an. Dabei wird der schadhafte Code ins System geladen und mit den Rechten des Benutzers ausgeführt. Anschließend werden diverse DLLs nachgeladen und die Startseite des Internet Explorers verändert. Auch der Zugriff auf den Taskmanager wird verwehrt.

Einen Patch konnte Microsoft bisher noch nicht veröffentlichen. In einem Advisory rät man dem Kunden aber, einen aktuellen Viren- und Spyware-Scanner zu verwenden. Außerdem sollte natürlich eine Firewall verwendet werden und das Betriebssystem mit den aktuellsten Updates versorgt sein. Nach Angaben des Internet Storm Centers kann die Datenausführungsverhinderung von Windows XP Service Pack 2 helfen. Es seien aber auch Fälle bekannt, wo dieser Schutz nicht wirksam war.

Verantwortlich für die Sicherheitslücke ist die Datei-Bibliothek „SHIMGVW.DLL“, so dass sämtliche Programme, die diese Datei verwenden, anfällig gegenüber der Schwachstelle sind. Dies betrifft neben der Bild- und Faxanzeige auch den Windows Explorer und Google Desktop. Beim Explorer reicht schon die Vorschauanzeige, um den Schadcode auszuführen. Die Kollegen von Heise raten daher, die verwundbare Bibliothek zu deregistrieren und sie erst dann wieder zu registrieren, wenn es einen Patch von Microsoft gibt. Nach einem Neustart funktionieren die betroffenen Programme nicht mehr, was aber leider nicht nur für WMF-Dateien gilt, sondern für alle Bilder, die mit diesen Programmen verknüpft sind.

Zum Deregistrieren muss die folgende Zeile in der Eingabeaufforderung oder unter Start -> „Ausführen“ eingegeben werden:

regsvr32 -u %windir%\system32\shimgvw.dll

Befehl

Um die Bibliothek wieder zu registrieren, soll folgende Zeile verwendet werden:

regsvr32 %windir%\system32\shimgvw.dll

Befehl

Wer sich einen Einblick in die Wirkungsweise des Exploits verschaffen möchte, ohne seinen Rechner der Gefahr auszusetzen, findet auf der Website der „Websense Labs“ ein Video, welches den Fehler in Aktion zeigt.