Microsoft warnt vor Thumbnail-Lücke in Windows

Über eine bislang unbekannte Sicherheitslücke in Windows lässt sich Code einschleusen und ausführen. Es existiert bereits öffentlicher Demo-Code, der Dateien mit passenden Thumbnails erstellt.

In Pocket speichern vorlesen Druckansicht 175 Kommentare lesen
Lesezeit: 2 Min.

In einem Security Advisory warnt Microsoft vor einer neuen, bislang unbekannten Sicherheitslücke in Windows, die sich ausnutzen lässt, um Code einzuschleusen und auszuführen. Code, der demonstriert, wie sich das konkret bewerkstelligen lässt, wurde ebenfalls schon veröffentlicht.

Im Dezember hielten Moti und Xu Hao auf der Sicherheitskonferenz "Power of Community" einen Vortrag mit dem Titel "A Story about How Hackers' Heart Broken by 0-day". Die im Internet verfügbaren Vortragsunterlagen beschreiben eine Sicherheitslücke in Windows bei der Darstellung von Thumbnails, die sich lokal via Explorer aber auch übers Netz via WebDAV ausnutzen ließe. Dazu muss lediglich eine Datei mit einem passenden Vorschaubild angezeigt werden. Ausgelöst wird der Exploit dann durch eine vorgeblich negative Anzahl von Farbeinträgen in der Farbtabelle (biClrUsed).

In der Sicherheitswarnung bestätigt nun Microsoft, dass alle Windows-Versionen außer Windows 7 und Server 2008 R2 dafür anfällig sind. Allerdings gebe es bislang keine Berichte über Angriffe, die diese Schwachstelle ausnutzen. Das könnte sich allerdings sehr schnell ändern. Denn fast gleichzeitig zu Microsofts Warnung wurde ein Metasploit-Modul veröffentlicht, das passende Dateien erstellen kann.

Als schützenden Workaround bis ein Patch erscheint, beschreibt Microsoft bislang lediglich, wie man die Zugriffsrechte auf die Bibliothek shimgvw.dll so setzen kann, dass keine Thumbnails mehr angezeigt werden – also auch nicht für reguläre Dateien. Wann ein Update veröffentlicht wird, das die Lücke schließt, lässt das Advisory offen. Auf Microsofts ToPatch-Liste steht außerdem bereits eine kritische Lücke im Internet Explorer, die direkt vor Weihnachten bekannt wurde. (ju)