Der E-Mail-Dienst für PC-Profis, Ausgabe vom 2. Januar 2006

Von Bildern und Ausbeutern

Von Dr. Giesbert Damaschke, München

Liebe Leser,

kurz vor Jahreswechsel machte der so genannte "WMF-Exploit" die Runde, der schon einmal Thema in "Business-PC Daily" war (nämlich am 29. Dezember).

Zu diesem Zeitpunkt war noch relativ wenig über dieses Sicherheitsproblem bekannt, inzwischen gibt es neue Informationen, die ich Ihnen natürlich nicht vorenthalten will.

Was ist eigentlich ein "Exploit"?

Wörtlich übersetzt ist ein "Exploit" eine "Ausbeutung" oder "Ausnutzung". Gemeint sind damit Schadensprogramme, die sich eine Lücke oder einen Fehler in einem anderen Programm zunutze machen (also diese Lücke "ausbeuten"), um ihren sinistren Zwecken nachzugehen.

Beim aktuellen WMF-Problem spricht man von einem "Zero-Day-Exploit", was für Sicherheitsexperten die schlimmstmögliche Situation ist: Ein Sicherheitsproblem wird bekannt und zeitgleich (also mit Null Tagen Vorwarnzeit) kursieren die ersten "Exploits" dieser Lücke im Internet.

Was passiert beim WMF-Exploit?

Beim WMF-Exploit wird eine Schwachstelle in der Windows Bild- und Faxanzeige ausgenutzt, mit der WMF-Dateien standardmäßig verknüpft sind. Dabei handelt es sich um eine DLL-Datei (shimgvw.dll), die von verschiedenen Programmen benutzt wird, um mit WMF-Dateien umzugehen.

Durch eine speziell präparierte WMF-Datei ist es nun möglich, die Schwachstelle in shimgvw.dll auszunutzen, um beliebigen, ausführbaren Code auf den Computer zu schmuggeln. Derzeit sollen dabei keine Viren oder Würmer (also reine Schadensprogramme) eingeschleust werden, sondern Trojaner und Spyware, also Programme, die sich unbemerkt im System einnisten, um den Datenverkehr zu belauschen.

Dabei handelt es sich um die gefährlichere Variante. Denn ein Virus oder ein Wurm kann schlimmstenfalls Daten zerstören. Schnüffelsoftware dagegen zerstört nicht, sondern stiehlt. Und mit gestohlenen sensiblen Daten lässt sich ein sehr viel größerer Schaden anrichten, als ihn eine zerstörte Festplatte darstellt.

Wie wird ein Rechner Opfer eines WMF-Exploit?

Wie sieht der Infektionsweg beim WMF-Exploit aus? Ganz einfach: Man öffnet eine präparierte WMF-Datei mit der Bild- und Faxanzeige. Das passiert in verschiedenen Situationen, hauptsächlich aber, wenn man eine WMF-Datei doppelklickt oder wenn der Internet Explorer auf eine WMF-Datei stößt. Der IE übergibt eine solche Datei ohne Rückfragen an die entsprechende DLL-Datei und zeigt das Bild an. Im Falle des Exploits heißt das: Der Rechner wird infiziert.

Es gibt vor allem zwei Wege, wie so eine Datei auf einen Rechner gelangt. Zum einen als Dateianhang, zum anderen über eine Webseite.

Der WMF-Exploit verbreitet sich schnell

Ich hab selbst erlebt, wie schnell man auf solche Webseiten gerät. Kurz vor Jahreswechsel habe ich ein wenig im Netz nach passenden Bildern und Animationen gesucht, um meinen Bekannten digitale Neujahrsgrüße zu schicken.

Dergleichen findet sich im Netz ja zuhauf – allerdings stolpert man dabei auch immer wieder über Webseiten, die man normalerweise nicht besuchen würde. Bei meinen Abstechern in diese Grau- und Rotlicht-Bezirke des Internet passierte es dann gleich mehrfach: Mein Browser – Firefox 1.5 auf einem Mac-Powerbook – öffnete unvermittelt ein Dialogfenster und meldete:

"You have chosen to open wmf_exp.wmf, which is a Windows Metafile. What should Firefox do with this file?"

Da war er also, der WMF-Exploit, über den ich tags zuvor noch geschrieben hatte.

Und dass er mir über den Weg lief, war kein Zufall. Denn die Information über die Verwundbarkeit von Windows-Systemen mit einer WMF-Datei verbreitet sich in einschlägigen Kreisen rasend schnell. Sicherheitsexperten haben inzwischen mehr als 50 Exploit-Varianten ausgemacht, die auf mehreren Tausend Webseiten auf ihre Opfer lauern.

Dabei sind natürlich Angebote, die viele Besucher anlocken – zum Beispiel Seiten mit kostenlosen Neujahrswünschen – eine besonders beliebte Tarnung und daher ist die Wahrscheinlichkeit, dort auf eine Exploit zu stoßen, besonders hoch.

Wie schützt man sich vor dem WMF-Exploit?

Nach so vielen eher schlechten Nachrichten, kommt jetzt endlich eine gute: Viele Antiviren-Programme wurden inzwischen aktualisiert und erkennen den WMF-Exploit. Die oberste und wichtigste Sicherheitsregel lautet also auch hier: Sorgen Sie dafür, dass Sie mit einem aktuellen Antivirenprogramm arbeiten!

Microsoft hat das Problem inzwischen auch offiziell bestätigt und arbeitet an seiner Lösung. Derzeit (1. Januar 2005, 19:23 Uhr) lautet der Status bei Microsoft allerdings noch "under investigation". Immerhin ist laut Microsoft das Haupteinsatzgebiet von WMF-Dateien nach wie vor unbedenklich: Nämlich die Einbindung solcher Grafiken in Word-Dokumente.

Leider stellt Microsoft noch kein Patch zur Behebung des Problems bereit, aber es gibt einen offiziellen "Workaround": Melden Sie WMF-Dateien im System ab. Damit sind entsprechend präparierte Dateien nach wie vor gefährlich, aber die automatische Verknüpfung von WMF-Dateien mit shimgvw.dll wird gelöst und potentiell gefährliche Dateien werden nicht mehr automatisch geöffnet.

Dazu empfiehlt Microsoft folgendes Vorgehen:

• Klicken Sie auf "Start / Ausführen"
• Geben Sie "regsvr32 -u %windir% \system32 \shimgvw.dll" ein (ohne die Anführungszeichen.
• Klicken Sie auf OK.

Um diese Änderung rückgängig zu machen, geben Sie bei "Start / Ausführen" das Kommando "regsvr32 %windir% \ system32 \ shimgvw.dll" ein (ebenfalls ohne Anführungszeichen.

Microsoft Security Advisory zum WMF-Exploit

Angesichts eines so drastischen Vorgehens bleibt einem eigentlich nur die Hoffnung, dass Microsoft möglichst schnell einen Patch parat hat.

Ihr

Dr. Giesbert Damaschke, München

Google und Opera kooperieren bei mobilen Endgeräten

Vor ein paar Tagen war es noch ein Gerücht, jetzt ist es offiziell: Der Suchmaschinenprimus Google und der norwegische Browser-Hersteller Opera kooperieren. Opera ist derzeit dabei, seine Stärken im Mobilfunkmarkt weiter auszubauen, was Google wunderbar in den Kram passt. Auf dem Desktop unterstützt Google den Opera-Konkurrenten Firefox, aber im Bereich der mobilen Endgeräte führt kein Weg an Opera vorbei, die bei Handheld, Handy & Co. die Nase vorn haben.

Der Vertrag zwischen Opera und Google sieht vor, dass Google bei den beiden Varianten Opera Mini und Opera Mobile als Standardsuchmaschine benutzt wird. Außerdem wird Google in die Startseite des Browsers integriert. Der Vertrag hat eine Laufzeit von einem Jahr.

"Intel inside" ist out – neue Kampagne und neues Logo

Der weltweit größte Chip-Hersteller beginnt das neue Jahr mit resoluter Image-Pflege. So wird der seit rund zehn Jahren benutzte Slogan "Intel inside" demnächst gegen den Spruch "Leap ahead" ersetzt, was so viel "Sprung nach vorn" bedeutet. Ob "Leap ahead" den gleichen Bekanntheitsfaktor wie "Intel inside" haben wird, bleibt abzuwarten. Kritiker geben zu bedenken, dass der alte Slogan für eine weltweite Vermarktung besser geeignet gewesen sei. Er enthielt den Firmennamen, prägte sich durch die Alliteration leicht ein und kam mit nur einem englischen Wort aus.

Doch damit nicht genug – auch das nun 40 Jahre alte Logo wird geändert. Bislang ist das "e" im Firmennamen tiefer gestellt. Nun wir der Schriftzug normiert, klein geschrieben und von einem leicht geöffneten Oval umschlossen, so, als sei der Firmennamen handschriftlich eingekreist worden. Das neue Logo wirkt insgesamt frischer und dynamischer als die biedere Version aus den sechziger Jahren.