Es ist ein Exploit für eine bisher unbekannte Lücke in
Windows aufgetaucht, der über eine manipulierte WMF-Bilddatei
den Rechner mit Spyware und Trojanern infiziert. Der Exploit lädt
beim Aufruf einer präparierten Webseite mit dem Internet Explorer
das Bild nach und zeigt es, abhängig von der Systemkonfiguration,
unter Umständen automatisch in der Windows Bild- und Faxanzeige
an. Dabei gelingt es dem Exploit, Schadcode ins System zu schleusen
und mit den Rechten des Anwenders auszuführen. Anschließend
lädt der Schadcode mehrere DLLs nach und verbiegt die Startseite
des Internet Explorers.
Bei einem Test mit Windows XP SP2 fand zwar der mitlaufende Virenscanner
von H+BEDV die nachgeladenen Dateien und schob sie in den Quarantäne-Ordner,
den Downloader erkannte er jedoch nicht. Zudem sperrte der Trojaner
den Aufruf des Task Managers. Nach Angaben des Internet Storm Centers
soll der Exploit auf Windows-XP-SP2-Systemen mit AMD64-Prozessor
eine Ausnahme der Datenausführungsverhinderung (Data Execution
Prevention) verursachen, so dass der Exploit dort nicht ohne weiteres
funktioniert.
Da für die Lücke noch kein Patch zur Verfügung steht
und auch noch nicht klar ist, worauf die Sicherheitslücke beruht,
sollten Anwender die Verknüpfung von WMF-Bildern mit jeglichen
Anwendungen löschen (Windows Explorer/Ordneroptionen/Dateitypen).
(rb, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|