JPEG-Exploits per Mausklick für jedermann [3.Update]

Das Wochenende könnte spannend werden: Ein Baukasten mit grafischer Oberfläche zum Basteln manipulierter JPEG-Bilder ist aufgetaucht. Nach dem Start des Tools muss man nur noch eine URL zu einem Server eingeben, die auf ein dort gespeichertes beliebiges Programm zeigt. Ein Klick auf "Make" erzeugt dann ein JPG-Bild auf der Festplatte. Dessen Ansicht provoziert bei ungepatchten Applikationen unter Windows einen Buffer Overflow. In der Folge landet im Bild enthaltener Code auf dem Stack, der bei der Ausführung das Programm von der angegebenen URL nachlädt und startet.

Denkbar ist, dass Angreifer solche Bilder per Mail versenden und auf Web-Seiten platzieren, um verwundbare Systeme mit Trojanern und Dialern zu infizieren. Anwender sollten jetzt schleunigst die von Microsoft bereit gestellten Patches installieren. Es ist zu erwarten, dass der Baukasten demnächst weitere Verbreitung findet. Da er ohne tiefergehende Kenntnisse der Lücke oder des Exploit-Codes zu bedienen ist, ist er für Skript-Kiddies das ideale Angriffswerkzeug.

Mehrere Hersteller von Antivirensoftware haben ihre Signaturen angepasst, mit der die Scanner präparierte Bilder erkennen. Nach Angaben des Virenspezialisten Andreas Marx von AV-Test sind dies bisher: (alle Zeiten GMT)

• Antivir 23.09.2004 17:51 "TR/Exploit.MS04-28 (exact)"
• Bitdefender 24.09.2004 14:21 "Exploit.Win32.MS04-028.Gen"
• Dr. Web 21.09.2004 10:51 "Exploit.MS04-028"
• eTrust (CA Engine) 22.09.2004 22:23 "JPEG.MS04-028.Exploit.Trojan"
• eTrust (VET Engine) 23.09.2004 06:38 teilweise erkannt als "JPEG.MS04-028.exploit"
• eTrust (VET Engine) 24.09.2004 06:40 "JPEG.MS04-028.exploit"
• F-Secure 20.09.2004 08:46 "Exploit.Win32.MS04-028.gen"
• Kaspersky 23.09.2004 12:56 "Exploit.Win32.MS04-028.gen"
• McAfee 16.09.2004 23:20 "Exploit-MS04-028" und "Exploit-MS04-028.demo"
• Panda 24.09.2004 13:30 teilweise erkannt als "Exploit/MS04-028"
• Symantec 16.09.2004 03:38 teilweise erkannt als "Bloodhound.Exploit.13"
• Symantec 18.09.2004 03:42 "Bloodhound.Exploit.13" und "Download.Trojan"
• Trend Micro 18.09.2004 06:10 "Exploit-MS04-028"

Anwender sollten aber darauf achten, dass ihr Virenscanner alle Dateien auf dem System untersucht. In einigen Produkten sind Erweiterungen von der Überprüfung ausgenommen, unter anderem auch .jpg. Selbst wenn .jpg explizit angegeben ist, muss das keinen hundertprozentigen Schutz bieten, da ein präpariertes Bild ja auch die gültig Endung .jpeg tragen kann.

Zusammen mit AV-Test untersucht heise Security ein weiteres JPEG-Bild, das auch auf vollständig gepatchten Systemen den Internet Explorer zum Absturz bringt. Der Fehler tritt aber nur in Microsofts Web-Browser auf, andere, von der ursprünglichen JPEG-Sicherheitslücke betroffene Applikationen scheinen in diesem Fall nicht gefährdet zu sein. Sollte sich der Fehler zum Einschleusen von Code ausnutzen lassen, wird heise Security eine Warnungmeldung veröffentlichen. Erste Ergebnisse deuten auf ein Problem bei der Verarbeitung des SOS-Tags in JPGs hin. Eine Null-Pointer-Dereference verursacht eine Speicherzugriffsverletzung, die zum Absturz führt -- Code lässt sich damit wahrscheinlich nicht einschleusen und ausführen.

Siehe dazu auch: (dab)

• Erste Exploits nutzen JPEG-Sicherheitslücke in Windows aus auf heise Security