WMF-Exploit ging für 4000 US-Dollar über den Tisch
Offenbar wurde die WMF-Lücke in Windows bereits einige Zeit vor ihrer Veröffentlichung für kleinere, gezielte Attacken ausgenutzt. Den Exploit dafür boten Hacker dann später auf russischen Underground-Seiten zum Verkauf an.
Wahrscheinlich wurde die WMF-Lücke in Windows bereits einige Zeit vor ihrer Veröffentlichung für kleinere, gezielte Attacken ausgenutzt, erklärte Jim Melnick, Mitarbeiter beim IT-Sicherheitsdienstleister iDefense gegenüber US-Medien. Man habe bereits frühere Aktivitäten auf russischen Underground-Websites beobachtet, die sich um eine Lücke bei der Verarbeitung von WMF-Bilder drehten. Offenbar versuchten mehrere rivalisierende russische Hacker-Gruppen bereits Mitte Dezember, einen Exploit für die Lücke zu verkaufen – der Preis: 4000 US-Dollar.
Auch die Kaspersky Labs wollen schon Mitte Dezember, also rund 14 Tage vor den ersten öffentlichen Warnungen vor infizierten WMF-Bildern, mysteriöse WMF-Dateien mit Schadcode registriert haben. Nach Meinung von Alexander Gostev von Kaspersky dürften die Hacker die Schwachstelle zu diesem Zeitpunkt selbst aber noch nicht gänzlich verstanden haben. Dies änderte sich erst, als sich ein Käufer für den Exploit fand und ihn verbesserte, um ihn zur Verbreitung von Spyware und Trojanern über Web-Seiten einzusetzen. Ursprünglich soll die Lücke sogar schon Anfang Dezember entdeckt worden sein.
Gostev unterstrich in einem Interview, dass dieser Vorgang eine Bestätigung für die Annahme sei, dass es im Untergrund einen lukrativen Markt für Schadprogramme gebe, die bislang unbekannte Windows-Lücken ausnutzen. Es sei nicht davon auszugehen, dass Schwachstellen immer nur von Firmen wie eEye und iDefense veröffentlicht würden, die den Hersteller vorab informieren. Auch Melnick bestätigt den Handel mit Zero-Day-Exploits. Einige Gruppen würden den Code auch sorgfältiger auf seine Funktionsfähigkeit testen und ihn so anpassen, dass er nicht von Antivirensoftware erkannt würde.
Den ersten öffentlichen Hinweis gab es erst am 27. Dezember auf der Mailing-Liste "Full Disclosure" mit einem Link zu einer Seite, die bereits Trojaner verschleuderte. Innerhalb einer Woche registrierten die Hersteller von Antivirensoftware mehrere hundert Seiten mit infizierten Bildern. Microsoft sah sich gezwungen, noch vor dem offiziellen Patchday ein Update für Windows herauszugeben. (dab)
