[Warning] Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows

Otmar Lendl lendl at cert.at
Wed Jan 5 21:59:49 CET 2011


5. Jänner 2011

   Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht
   daher um Beachtung der folgenden Meldung.

Beschreibung

   Microsoft warnt [1] vor einer kritischen Sicherheitslücke in Windows,
   die bei der Anzeige von Thumbnail-Bildern zum Tragen kommt. Dabei lässt
   sich durch entsprechend präparierte Bilder ein Stacküberlauf erzielen,
   der als Basis für eine anschließende Remote Code Execution genutzt
   werden kann. Weitere technische Details sind den Unterlagen [2] zweier
   Sicherheitsexperten zu entnehmen, die bereits im vergangenen Dezember
   im Zuge eines Vortrages auf diese Lücke aufmerksam gemacht haben.

   Als Infektionsszenario skizziert Microsoft den Verbreitungsweg über
   Email - das Öffnen eines angehängten Word- oder Powerpoint-Dokuments,
   das ein solches Bild enthält, wäre bereits ausreichend. Aber auch der
   Besuch eines Netzwerk-Shares, eines UNC- oder WebDAV-Pfades, oder auch
   eines USB-Sticks würde durch ein entsprechendes, dort hinterlegtes
   Bild, zu einer Infektion führen.

Auswirkungen

   Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen
   Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie
   potentiell alle durch diese erreichbaren (etwa durch ausspionierte
   Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme
   gefährdet.

   Ein entsprechendes Exploit-Modul [3] ist via Metasploit bereits
   beziehbar. Es ist demnach zu erwarten, dass diese Schwachstelle schon
   bald in großem Stil ausgenützt wird.

Betroffene Systeme

   Alle Versionen von Microsoft Windows mit Ausnahme von Windows 7 und
   Server 2008 R2.

Abhilfe

   Ein Patch seitens Microsoft steht noch nicht zur Verfügung. Microsoft
   empfiehlt in seinem Advisory die Zugriffsberechtigungen der betroffenen
   Bibliothek (shimgvw.dll) entsprechend einzuschränken. Dies hat aber
   auch zur Folge, dass Vorschauen legitimer Bilder nicht mehr
   funktionieren.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):

   1. http://www.microsoft.com/technet/security/advisory/2490606.mspx
   2. http://www.exploit-db.com/author/?a=3094
   3.
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb

---

Christian Wojner / Otmar Lendl
-- 
// Otmar Lendl <lendl at cert.at>, +43 1 5056416 - 711
//       CERT.at    --      http://www.cert.at/

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 196 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20110105/aa58333e/attachment.sig>


More information about the Warning mailing list