Hintergrund
Windows Metafile (WMF) ist ein proprietäres Grafikformat. Es wurde entwickelt für den Austausch von Grafiken über verschiedene Programme hinweg. Dieses Grafikformat erlaubt es in den Metainformationen des Dokumentes ausführbaren Programmcode zu speichern und an Empfänger zu übermitteln. Werden Grafiken im WMF-Format abgespeichert, so tragen die Dateien die 3-buchstabige Dateierweiterung ".wmf". In der WMF-Rendering-Engine gibt es eine Schwachstelle, die es einem entfernten Angreifer ermöglicht, beliebigen Code in WMF-Dateien mit Benutzerrechten auf betroffenen Systemen auszuführen.
Die Schwachstelle kann neben Windows Metafile (WMF) auch über Enhanced Metafile (EMF) Dateien ausgnutzt werden. Erfolgreiche Angriffe fanden bislang über E-Mail, hier insbesondere in Grusskarten zum neuen Jahr das Surfen im Internet und über gemeinsam genutzte Dateisysteme statt. Es reicht bereits die Vorschau einer schadhaften E-Mail oder einer schadhaften Datei im Windows Explorer aus, um den schadhaften Code auszuführen und nicht geschützte Systeme anzugreifen.
Häufig enthalten die infizierten WMF-Dateien keinerlei Bildinformationen sondern nur den schadhaften Programmcode. Weiterhin können auch umbenannte WMF-Dateien mit der anfälligen Komponente verarbeitet werden. So können Angreifer z. B. eine in ".JPG" umbenannte WMF-Datei für Angriffe einsetzen.
Auswirkung & Betroffene Systeme
Die Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes von entfernten Standorten. Der Angreifer muss hierfür sein Opfer dazu verleiten eine schadhafte Datei zu öffnen, zum Beispiel durch eine geeignete gestaltete E-Mail oder Web-Seite zu besuchen. Die Schwachstelle wird derzeit aktiv dazu verwendet, weitere Schadprogramme wie zum Beispiel Trojanische Pferde nachzuladen.
Benutzer des Internet Explorer können durch den Besuch einer Web-Seite automatisch von Schadprogrammen infiziert werden, die die Sicherheitslücke ausnutzen.
Benutzer des Firefox können infiziert werden, wenn sie sich auf Standard-Nachfrage des Browsers dazu entscheiden, dennoch die entsprechende WMF-Datei auszuführen.
Betroffene Systeme
Von der Schwachstelle betroffen sind laut Hersteller folgende Versionen:
* Microsoft Windows 2000 Service Pack 4
* Microsoft Windows XP Service Pack 1
* Microsoft Windows XP Service Pack 2
* Microsoft Windows XP Professional x64 Edition
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 for Itanium-based Systems
* Microsoft Windows Server 2003 SP 1
* Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
* Microsoft Windows Server 2003 x64 Edition
* Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)
* Microsoft Windows Millennium Edition (ME)
Andere Windows-Versionen sind möglicherweise ebenfalls von der Schwachstelle betroffen.
Patches & Gegenmaßnahmen
Bisher gibt es von Microsoft keine Patches zur Behebung der Schwachstelle. Die Betriebssysteme Windows 98 und Windows ME werden von Microsoft nicht mehr gewartet. Es ist nicht abzusehen, ob von dem Hersteller für diese Versionen überhaupt ein Patch zur Beseitigung der Sicherheitslücke entwickelt wird.
Gegenmaßnahmen
Microsoft empfiehlt als Workaround Massnahme "Windows Picture and Fax Viewer" (Shimgvw.dll) auf Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 und Windows Server 2003 Service Pack 1 zu de-registieren. Dies muss mit dem Kommando regsvr32 -u %windir%\system32\shimgvw.dll ausgeführt werden. Klicken Sie hierfür in der Windows-Taskleiste auf "Start" und dann auf "Ausführen". Geben Sie das Kommando in die nun erscheinende Befehlszeile ein und klicken auf "OK".
Diese Massnahme hat zur Folge, dass der "Windows Picture and Fax Viewer" nicht mehr ausgeführt wird, wenn eine Datei, die mit dieser Funktionalität verknüpft ist, von dem Benutzer geöffnet wird. Durch erneute Registrierung von Shimgvw.dll kann der Workaround rückgängig gemacht werden. Dazu muss das Kommando regsvr32 %windir%\system32\shimgvw.dll ausgeführt werden.
Da Angriffsszenarien möglich sind, bei denen Grafik-Dateien mit anderen Endungen zum Ausnutzen dieser Schwachstelle eingesetzt werden, ist eine sehr weitreichende Gegenmassnahme an E-Mail und Web Sicherheitsgateways alle Grafikdateitypen zu blocken. Diese Massnahme ist in Einzelfällen zu prüfen und zu entscheiden.
Im Firefox Browser wird in der Standardinstallation immer nachgefragt, ob "WMF"-Dateien geöffnet werden sollen. Sie können diese Einstellung unter "Einstellungen > Extras > Downloads" prüfen. Für die betroffenen Dateitypen (WMF und EMF) sollte keine automatische Anzeige konfiguriert sein.
Quelle: www.freenet.de / Bundesamt für Sicherheit in der Informationstechnik
Ich habe mein FireFox so eingestellt aber mehr mach ich aber auch nicht. Da bleibt wohl nicht viel als abzuwarten - oder ?
Blöd ist und erschwerent das man das Ding nicht mal mehr über die Endung identifizieren kann.
Windows Metafile (WMF) ist ein proprietäres Grafikformat. Es wurde entwickelt für den Austausch von Grafiken über verschiedene Programme hinweg. Dieses Grafikformat erlaubt es in den Metainformationen des Dokumentes ausführbaren Programmcode zu speichern und an Empfänger zu übermitteln. Werden Grafiken im WMF-Format abgespeichert, so tragen die Dateien die 3-buchstabige Dateierweiterung ".wmf". In der WMF-Rendering-Engine gibt es eine Schwachstelle, die es einem entfernten Angreifer ermöglicht, beliebigen Code in WMF-Dateien mit Benutzerrechten auf betroffenen Systemen auszuführen.
Die Schwachstelle kann neben Windows Metafile (WMF) auch über Enhanced Metafile (EMF) Dateien ausgnutzt werden. Erfolgreiche Angriffe fanden bislang über E-Mail, hier insbesondere in Grusskarten zum neuen Jahr das Surfen im Internet und über gemeinsam genutzte Dateisysteme statt. Es reicht bereits die Vorschau einer schadhaften E-Mail oder einer schadhaften Datei im Windows Explorer aus, um den schadhaften Code auszuführen und nicht geschützte Systeme anzugreifen.
Häufig enthalten die infizierten WMF-Dateien keinerlei Bildinformationen sondern nur den schadhaften Programmcode. Weiterhin können auch umbenannte WMF-Dateien mit der anfälligen Komponente verarbeitet werden. So können Angreifer z. B. eine in ".JPG" umbenannte WMF-Datei für Angriffe einsetzen.
Auswirkung & Betroffene Systeme
Die Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes von entfernten Standorten. Der Angreifer muss hierfür sein Opfer dazu verleiten eine schadhafte Datei zu öffnen, zum Beispiel durch eine geeignete gestaltete E-Mail oder Web-Seite zu besuchen. Die Schwachstelle wird derzeit aktiv dazu verwendet, weitere Schadprogramme wie zum Beispiel Trojanische Pferde nachzuladen.
Benutzer des Internet Explorer können durch den Besuch einer Web-Seite automatisch von Schadprogrammen infiziert werden, die die Sicherheitslücke ausnutzen.
Benutzer des Firefox können infiziert werden, wenn sie sich auf Standard-Nachfrage des Browsers dazu entscheiden, dennoch die entsprechende WMF-Datei auszuführen.
Betroffene Systeme
Von der Schwachstelle betroffen sind laut Hersteller folgende Versionen:
* Microsoft Windows 2000 Service Pack 4
* Microsoft Windows XP Service Pack 1
* Microsoft Windows XP Service Pack 2
* Microsoft Windows XP Professional x64 Edition
* Microsoft Windows Server 2003
* Microsoft Windows Server 2003 for Itanium-based Systems
* Microsoft Windows Server 2003 SP 1
* Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
* Microsoft Windows Server 2003 x64 Edition
* Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)
* Microsoft Windows Millennium Edition (ME)
Andere Windows-Versionen sind möglicherweise ebenfalls von der Schwachstelle betroffen.
Patches & Gegenmaßnahmen
Bisher gibt es von Microsoft keine Patches zur Behebung der Schwachstelle. Die Betriebssysteme Windows 98 und Windows ME werden von Microsoft nicht mehr gewartet. Es ist nicht abzusehen, ob von dem Hersteller für diese Versionen überhaupt ein Patch zur Beseitigung der Sicherheitslücke entwickelt wird.
Gegenmaßnahmen
Microsoft empfiehlt als Workaround Massnahme "Windows Picture and Fax Viewer" (Shimgvw.dll) auf Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 und Windows Server 2003 Service Pack 1 zu de-registieren. Dies muss mit dem Kommando regsvr32 -u %windir%\system32\shimgvw.dll ausgeführt werden. Klicken Sie hierfür in der Windows-Taskleiste auf "Start" und dann auf "Ausführen". Geben Sie das Kommando in die nun erscheinende Befehlszeile ein und klicken auf "OK".
Diese Massnahme hat zur Folge, dass der "Windows Picture and Fax Viewer" nicht mehr ausgeführt wird, wenn eine Datei, die mit dieser Funktionalität verknüpft ist, von dem Benutzer geöffnet wird. Durch erneute Registrierung von Shimgvw.dll kann der Workaround rückgängig gemacht werden. Dazu muss das Kommando regsvr32 %windir%\system32\shimgvw.dll ausgeführt werden.
Da Angriffsszenarien möglich sind, bei denen Grafik-Dateien mit anderen Endungen zum Ausnutzen dieser Schwachstelle eingesetzt werden, ist eine sehr weitreichende Gegenmassnahme an E-Mail und Web Sicherheitsgateways alle Grafikdateitypen zu blocken. Diese Massnahme ist in Einzelfällen zu prüfen und zu entscheiden.
Im Firefox Browser wird in der Standardinstallation immer nachgefragt, ob "WMF"-Dateien geöffnet werden sollen. Sie können diese Einstellung unter "Einstellungen > Extras > Downloads" prüfen. Für die betroffenen Dateitypen (WMF und EMF) sollte keine automatische Anzeige konfiguriert sein.
Quelle: www.freenet.de / Bundesamt für Sicherheit in der Informationstechnik
Ich habe mein FireFox so eingestellt aber mehr mach ich aber auch nicht. Da bleibt wohl nicht viel als abzuwarten - oder ?
Blöd ist und erschwerent das man das Ding nicht mal mehr über die Endung identifizieren kann.