Weitere Details zur WMF-Lücke [Update]

Die WMF-Sicherheitslücke und deren Auswirkungen beschäftigt weiterhin Anwender und Sicherheitsspezialisten. Offenbar nutzen mittlerweile tausende Web-Sites die Schwachstelle, um Ad- und Spyware zu verbreiten, über fünfzig verschiedene, präparierte WMF-Dateien sind dabei in Umlauf. Viele der WMF-Exploits installieren einen angeblichen Spyware-Spürhund, der regelmäßig Warnmeldungen produziert. Für die Entfernung der angeblich gefundenen Schädlinge soll man dann die Vollversion des Produktes erwerben.

Die Sicherheitspezialisten von WebSense wollen die Aktivitäten zu einer dubiosen Firma namens Exfol zurückverfolgt haben, die im Süd-Pazifik registriert ist. Websense dokumentiert die Aktivitäten auf einem infizierten System in einem Video. Wie man die Plagegeister tatsächlich wieder los wird, hängt wohl sehr stark vom Einzelfall ab; die besten Erfolgsaussichten dürften bewährte Anti-Spyware-Programme bieten.

Derzeit ist die Ursache der Lücke noch nicht restlos geklärt. Ein Advisory des US-CERT will einen Buffer Overflow als Ursache ausgemacht haben. Der Sicherheitsdienstleister Secunia beschreibt dagegen spezielle WMF-Eigenschaften, die der Exploit missbraucht. So bestehen WMF-Bilder nicht nur aus reinen Vektor- und Rasterdaten, sondern aus einer Serie von Befehlen an das Graphics Device Interface (GDI). Diese Befehle unterliegen dabei keinen Einschränkungen.

Unglücklicherweise verarbeitet die GDI aber auch Befehle (Escape-Funktionen) zur Interaktion von Bildern mit Systemressourcen. So stoppt die Escape-Funktion SETABORTPROC etwa einen Druckauftrag. Da die Escape-Funktionen der GDI vollen Zugriff auf das System haben und das WMF-Bild quasi Vollzugriff auf die GDI, kann ein manipuliertes Bild beliebigen Code in das System schleusen und starten. Im aktuellen Fall führt die Escape-Funktion aufgrund eines Verarbeitungsfehlers den in die präparierten Bilder eingebetteten Schad-Code direkt aus. Das spricht aber nicht gegen einen Buffer Overflow: immerhin schlägt auf Windows-Systemen mit XP SP2 und AMD64-Prozessor die Datenausführungsverhinderung (DEP) an und verhindert die Infektion des Systems.

Um PCs vor einer Infektion mit bösartigen WMF-Dateien zu schützen, suchen viele Antivirenprogramme per Heuristik nach SETABORTPROC-Sequenzen in Bildern. Dabei prüfen sie aber nicht, ob wirklich Schadcode vorhanden ist. Auf die gleiche Weise versuchen auch die Hersteller von Intrusion-Detection-Systemen ihre Netze zu schützen. Da SETABORTPROC aber eine dokumentierte Funktion ist, kann sie durchaus auch in harmlosen Bildern vorkommen.

Microsoft hat sein Advisory zu der Lücke aktualisiert und untersucht weiterhin, welche Anwendungen noch betroffen sein können. In Word-Dokumenten eingebettete Bilder stellen nach Meinung der Redmonder keine Bedrohung dar, bei der MSN-Desktop-Suche prüft man derzeit noch. Berichten zufolge soll auch IBMs Lotus Notes die verwundbare Bibliothek SHIMGVW.DLL benutzen -- sogar dann, wenn der Anwender diese deregistriert hat. Als Workaround empfehlen einige CERTs, an den Gateways alle Grafiktypen zu blocken. Das alleinige Ausfiltern von Dateien mit der Endung WMF schützt nicht, da ein WMF-Bild auch auf den Suffixen JPG und BMP enden kann. Trotzdem erkennt die API, dass in der Datei ein WMF-Bild steckt und ruft die verwundbaren Funktionen auf.

Bis Microsoft einen Patch bereitstellt, sollten Anwender und Administratoren auf PCs mit Windows XP und Server 2003 den Windows Picture and Fax Viewer (Shimgvw.dll) mit dem Kommandozeilenbefehl

regsvr32 -u %windir%\system32\shimgvw.dll

deaktivieren. Dies lässt sich nach dem Erscheinen und Einspielen eine Patches wieder rückgängig machen.

Diese Maßnahme schützt allerdings nicht vor der Infektion über Programme, wie Lotus Notes oder MS Office 2003, die unter Umständen die Bibliothek im Systempfad suchen und explizit nachladen. Um sich dagegen abzusichern, müsste man die Bibliothek löschen beziehungsweise umbennenen. Dabei ist darauf zu achten, dass sie die Windows File Protection nicht selbstständig wieder herstellt. Letztlich kann man nur hoffen, dass Microsoft sobald wie möglich einen Patch oder zumindest einen zuverlässigen Workaround bereitstellt.

Siehe dazu auch: (dab)

• WMF-Exploit tarnt sich als Google-Grußkarte Meldung auf heise Security
• WMF-Bilder infizieren Windows-PCs Meldung auf heise Security
• Musings and More WMF Information Meldung des ISC
• Security Advisory (912840) von Microsoft