[Warning] Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows
Otmar Lendl
lendl at cert.at
Wed Jan 5 21:59:49 CET 2011
5. Jänner 2011
Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht
daher um Beachtung der folgenden Meldung.
Beschreibung
Microsoft warnt [1] vor einer kritischen Sicherheitslücke in Windows,
die bei der Anzeige von Thumbnail-Bildern zum Tragen kommt. Dabei lässt
sich durch entsprechend präparierte Bilder ein Stacküberlauf erzielen,
der als Basis für eine anschließende Remote Code Execution genutzt
werden kann. Weitere technische Details sind den Unterlagen [2] zweier
Sicherheitsexperten zu entnehmen, die bereits im vergangenen Dezember
im Zuge eines Vortrages auf diese Lücke aufmerksam gemacht haben.
Als Infektionsszenario skizziert Microsoft den Verbreitungsweg über
Email - das Öffnen eines angehängten Word- oder Powerpoint-Dokuments,
das ein solches Bild enthält, wäre bereits ausreichend. Aber auch der
Besuch eines Netzwerk-Shares, eines UNC- oder WebDAV-Pfades, oder auch
eines USB-Sticks würde durch ein entsprechendes, dort hinterlegtes
Bild, zu einer Infektion führen.
Auswirkungen
Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen
Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
potentiell alle durch diese erreichbaren (etwa durch ausspionierte
Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
gefährdet.
Ein entsprechendes Exploit-Modul [3] ist via Metasploit bereits
beziehbar. Es ist demnach zu erwarten, dass diese Schwachstelle schon
bald in großem Stil ausgenützt wird.
Betroffene Systeme
Alle Versionen von Microsoft Windows mit Ausnahme von Windows 7 und
Server 2008 R2.
Abhilfe
Ein Patch seitens Microsoft steht noch nicht zur Verfügung. Microsoft
empfiehlt in seinem Advisory die Zugriffsberechtigungen der betroffenen
Bibliothek (shimgvw.dll) entsprechend einzuschränken. Dies hat aber
auch zur Folge, dass Vorschauen legitimer Bilder nicht mehr
funktionieren.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
1. http://www.microsoft.com/technet/security/advisory/2490606.mspx
2. http://www.exploit-db.com/author/?a=3094
3.
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb
---
Christian Wojner / Otmar Lendl
--
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
// CERT.at -- http://www.cert.at/
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110105/aa58333e/attachment.sig>
More information about the Warning
mailing list