VulDB: Microsoft Windows korrupte WMF Dateien ermöglichen Code Execution
Allgemein
scipID: 1934
Betroffen: Microsoft Windows 2003 und XP
Veröffentlicht: 28.12.2005 (noemailpls)
Risiko: 
sehr kritisch
Beschreibung
Microsoft Windows ist die meistverwendte Betriebssystemreihe auf dem Globus. Eine bislang unbekannte Schwachstelle in der Windows Graphics Rendering Engine wurde gefunden. Betroffen sind die Windows Versionen 98, ME, 2000, XP und 2003. Durch das ausnutzen dieser Verwundbarkeit könnte ein externer Angreifer in der Lage sein willkürlich Code auf dem infizierten Rechner auszuführen. Dies mit den Rechten des Benutzers. Bekannt ist, dass sich die Schwachstelle einen Fehler in der Abhandlung korrupter Windows Metafile Dateien (.wmf) zu Nutze macht. Bislang hat der Hersteller noch keinen Patch zur Verfügung gestellt. Ein Exploit ist im Umlauf (in the wild) und über einschlägige Kanäle beziehbar. Die Interpretation von WMF/EMF-Dateien ist üblich, mitunter auch über HTML im Mail-Verkehr. Benutzer des Internet Explorer können bereits durch die Ansicht einer präparierten Datei in Mitleidenschaft gezogen werden. Das bedeutet eine Infizierung kann automatisert umgesetzt werden. Benutzer alternativer Browser können durch das explizite Öffnen der Datei infiziert werden.
Wiedereinmal eine schwerwiegende Lücke in hauseigener Software. Erst diesen November wurde eine sehr kritische Pufferüberlauf Schwachstelle bei der Interpretierung von WMF Dateien rapportiert und per Patch behoben. Wiedereinmal sind Benutzer von HTML-Mails und der Maillösung von Microsoft Exchange/Outlook besonders gefährdet. Ein präpariertes Mail genügt zur Ausführung des Schadcodes. Da nützt auch nichts, wenn der Standardbrowser z.B. Mozilla ist. Outlook interpretiert HTML Dateien mit den hauseigenen IEX Routinen. Gleiches gilt für Groupware welche ebenfalls auf die von Microsoft zur Verfügung gestellte .dll zugreifen (z.B. Notes). Ein gefundenes Fressen für explizite Angriffe und leider auch für ScriptKiddies. Vorallem in der Jahresendzeit (Abschlussbuchungen, Abschlüsse etc.) sind Systemänderungen kaum durchführbar, respektive die Implementierung spezifischer strengerer Regeln auf Sicherheitssystemen. Wer möchte schon an der Behinderung der Abschlussbuchungen schuld sein? In der Windowswelt ist leider nicht alles transparent.
Exploiting
Klasse: Designfehler
Lokal: Ja
Remote: Ja
Exploit: –
Milw0rm: –
Nessus: 20382 (Name: MS06-001: Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (912919), Risk: High)
ATK: –
Gegenmassnahmen
Status: Es wurde ein Patch herausgegeben.
Bestätigung: –
Massnahme: Den freigegebenen Patch einspielen.
Link: http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
Snort: 5318 (WEB-CLIENT wmf file arbitrary code execution attempt)
Pattern: &
Quellen
Advisory: http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
CVE: CVE-2005-4560
OSVDB: –
Securityfocus: 16074
Secunia: 18415
X-Force: 23846
Securitytracker: 1015416
VUPEN: ADV-2005-3086
Securiteam: –
Tecchannel: –
Heise: 67794
smSS: smSS 19. Januar 2006
Andere: http://www.scip.ch/?vuldb.1876
Andere: http://www.scip.ch/?vuldb.1693
Buchtipp: Marc Ruef, Marko Rogge, Uwe Velten und Wolfram Gieseke (2002), Hacking Intern – Angriffe, Strategien, Abwehr, Data Becker, ISBN 381582284X (amazon.de)
