Demo: Sicherheitslücke in WMF
Das proprietäre Bildformat Windows Metafile Format (WMF) bietet die Möglichkeit, auch eigenen Programmcode einzubetten und ausführen zu lassen. Durch einen Fehler in den Windows-Bibliotheken lässt sich dies ausnutzen, um mit speziell präparierten WMF-Dateien beispielsweise Hintertüren oder Spyware zu installieren. Über tausend Web-Sites nutzen dies bereits aus, darunter auch seriöse, die durch Einbrecher entsprechend präpariert werden. Mit dem Internet Explorer genügt es, eine Web-Seite mit einem präparierten WMF-Bild zu öffnen, um sich Ärger einzuhandeln. Auch mit anderen Browsern ist eine Infektion möglich, wenn der Anwender das Öffnen der WMF-Datei bestätigt.
Die WMF-Exploits sind äußerst infektiös: Wer eine solche Datei öffnet, kann sich mit Schad-Software infizieren. Da Windows unter bestimmten Umständen den Dateityp auch unabhängig von der Endung erkennt, können sie sich auch beispielsweise als JPG-Bild tarnen. Liegt die Datei einmal auf der Festplatte, genügt unter Umständen schon das Vorschaubild des Explorer, um die Schadroutine auszulösen. Auch Hintergrunddienste, die wie Google-Desktop automatisch Vorschaubilder produzieren, aktivieren sie. Es sind auch bereits E-Mails mit angeblichen JPG-Bildern unterwegs, die beim Öffnen des Dateianhangs eine Hintertür installieren. Ein Wurm verbreitet solche Dateien über MSN Messenger.
Demo:
Diese Demo benutzt die WMF-Lücke, um den Windows-Taschenrechner zu starten. Sie richtet keinen Schaden an und funktionierte in unseren Tests auf Windows XP SP2 und allen aktuellen Patches mit dem Internet Explorer und Firefox. Bei letzterem muss man dazu die vorgeschlagenen Default-Aktion "Öffnen" bestätigen. Die Demo beruht auf einem veröffentlichten Exploit für das Metasploit-Projekt und wurde speziell für den c't-Browsercheck angepasst.
Wenn die Demo funktioniert, öffnet sich der Windows-Taschenrechner. Erscheint dieser nicht, ist die Demo fehlgeschlagen. Dies kann viele Ursachen haben, bedeutet aber nicht zwangsläufig, dass Sie nicht anfällig sind. So genügt es beispielsweise nicht, die Übertragung von WMF-Dateien zu sperren, da sich diese auch beispielsweise als JPG-Bild tarnen können. Auch Antiviren-Software bietet keinen zuverlässigen Schutz, da sie unter Umständen neue Versionen nicht mehr erkennt.
Über den c't-Emailcheck können Sie sich eine solche WMF-Datei per E-Mail zusenden lassen.
Abhilfe:
Microsoft hat das Problem bestätigt und stellt mit MS06-001 einen Patch für Windows XP, 2000 und Server 2003 bereit, der das Problem beseitigen soll.