Neujahrsgrüße nutzen WMF-Lücken [Update]

Die Antivirenexperten von F-Secure warnen vor "Happy New Year"-E-Mails, die über einen neuen WMF-Exploit eine Hintertür installieren. Antiviren-Software erkennt den neuen Schadcode bisher nicht.

In Pocket speichern vorlesen Druckansicht 593 Kommentare lesen
Lesezeit: 3 Min.

Neujahrsgrüße via E-Mail können eine böse Überraschung mit sich bringen: Die Antivirenexperten von F-Secure warnen vor "Happy New Year"-E-Mails, die als Anhang einen neuen WMF-Exploit mit sich bringen. Über einen Fehler in der Render-Engine von Windows wird beim Öffnen der als JPG-Bild getarnten Datei HappyNewYear.jpg eine Hintertür auf dem Rechner installiert. Das funktioniert, weil das proprietäre WMF-Format es gestattet, Funktionen zu registrieren und aufzurufen.

Der Schadcode ist nicht direkt mit den bisherigen WMF-Exploits verwandt, sodass die bereits existierenden Viren-Signaturen womöglich nicht ansprechen. Auch von den bisherigen Exploit-Familien sind ausgefeiltere Versionen erschienen, die laut Internet Storm Center von Viren-Scannern noch nicht erkannt werden.

Die WMF-Exploits sind äußerst infektiös: Liegt die Datei einmal auf der Festplatte, genügt unter Umständen schon das Vorschaubild des Explorers, um die Schadroutine auszulösen. Auch Hintergrunddienste, die wie Google-Desktop automatisch Vorschaubilder produzieren, aktivieren sie. Des weiteren genügt es, mit dem Internet Explorer eine Web-Seite mit einem präparierten WMF-Bild zu öffnen, um sich Ärger einzuhandeln. Auch mit anderen Browsern ist eine Infektion möglich, wenn der Anwender das Öffnen der WMF-Datei bestätigt. F-Secure berichtet darüber hinaus über einen WMF-Wurm, der sich über den MSN Messenger verbreitet.

Microsoft hat das Problem zwar bestätigt, aber bisher noch keinen Patch herausgebracht. Der in dem Advisory vorgeschlagene Workaround, die verwundbare Bibliothek zu deaktivieren, schließt nicht alle Einfallstore. So können Programme die Bibliothek nach wie vor direkt laden oder die Bibliothek wieder registrieren. Trotz dieser Lücken ist die Schutzmaßnahme natürlich als erste Hilfe sinnvoll.

Microsoft bietet Kunden in den USA eine kostenlose 24-Stunden-Hotline zu WMF-Problemen an. Für Deutschland, Österreich und die Schweiz verweist der Konzern auf die ebenfalls kostenlose allgemeine Sicherheits-Hotline, die jedoch nur zu Bürozeiten erreichbar ist (D: 0,12 € pro Minute).

Weil ein offizieller Patch von Microsoft noch nicht absehbar ist, hat Ilfak Guilfanov, der Entwickler des Disassemblers IDA Pro, kurzerhand einen eigenen erstellt. Er klinkt sich in alle Prozesse ein, die die Bibliothek user32.dll laden und deaktiviert dann im Speicher den Exploit-Mechanismus. Dazu blockiert er Aufrufe der Escape-Funktion von gdi32.dll, die versuchen, den Parameter SETABORTPROC zu setzen. Damit funktioniert die Anzeige von WMF-Dateien weiterhin, die Exploits werden jedoch abgefangen. Das Internet Storm Center hat den Patch untersucht und bestätigt seine Wirksamkeit für Windows XP und 2000. Es stellt den Patch nach intensiver Analyse selbst zum Download bereit (MD5: 99b27206824d9f128af6aa1cc2ad05bc).

Update:
Auf der Seite des Entwicklers findet sich bereits eine aktuellere Version, die eine mehrfache Installation verhindern und auch mit Windows 2000 SP4 funktionieren soll. Das ISC hat auch diese Version begutachtet und bietet PGP-signierte Pakete und sogar MSI-Pakete für die automatisierte Installation an.

Siehe dazu auch: (ju)