zurück zum Artikel

Erste Exploits nutzen JPEG-Sicherheitslücke in Windows aus

Nach den ersten Demo-Bildern[1] zur JPEG-Sicherheitslücke in Windows[2], die allerdings nur zum Absturz von Applikationen führten, sind jetzt gleich zwei Exploits aufgetaucht, die präparierte JPEGs erzeugen, um Code in Windows-Rechner zu schleusen und auszuführen. Der erste in C geschriebene Exploit öffnet eine Eingabeaufforderung (cmd.exe), die aber nicht an das Netzwerk gebunden ist. Eine netzwerkfähige Variante dürfte wahrscheinlich bereits in den nächsten Stunden kursieren. Der zweite in Perl programmierte Exploit fügt der lokalen Gruppe der Administratoren den Benutzer X hinzu. Die Exploits funktionieren nach ersten Erkenntnissen auf Windows-XP-SP1-Systemen. Systeme auf denen bereits Service Pack 2 oder die Security Updates[3] von Microsoft installiert wurden, sind nicht verwundbar. Allerdings kann eine verwundbare Applikation, etwa Office, auch XP mit SP2 wieder verwundbar machen. Anwender sollten schleunigst ihre Systeme aktualisieren, am besten über die eingebaute Windows-Update-Funktion.

Anders als bei Internet-Würmern wie Sasser[4] oder Lovsan alias Blaster[5] ist für einen erfolgreichen Angriff eine Benutzerinteraktion notwendig. Allerdings reicht schon das Lesen einer Mail, in der ein Bild enthalten ist, oder das Besuchen einer manipulierten Web-Seite mit dem Internet Explorer. Auch auf der Festplatte oder anderen Datenträgern gespeicherte Bilder im .JPG-Format können Code einschleusen, wenn sie beispielsweise mit dem Windows Explorer geöffnet werden. heise Security wird nach eingehenderen Tests der Exploits weiter berichten.

Damit bestätigt sich der von Symantec in seinem Internet Security Threat Report[6] festgestellte Trend, dass der Zeitraum zwischen Meldungen der Lücke und Veröffentlichung rapide abnimmt. Diesmal vergingen rund neun Tage, bei der Lücke im lsass-Dienst[7] waren es fünf. Bis zum Sasser-Wurm vergingen dann nochmals zwei Wochen. Man darf gespannt sein, wann die ersten Web-Seiten Trojaner über JPEG-Bilder in Systeme schmuggeln oder ein JPEG-Wurm sich in Mails verbreitet.

Siehe dazu auch: (dab[8])


URL dieses Artikels:
http://www.heise.de/-105669

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Erste-praeparierte-JPEG-Bilder-zur-Windows-Sicherheitsluecke-im-Umlauf-105343.html
[2] https://www.heise.de/meldung/Microsoft-stopft-schwerwiegende-Luecke-in-JPEG-Bildverarbeitung-105103.html
[3] http://www.microsoft.com/germany/ms/security/jpegsec.mspx
[4] https://www.heise.de/meldung/Wurm-Sasser-dringt-ueber-Windows-Sicherheitsluecke-ein-97941.html
[5] https://www.heise.de/meldung/Alle-Schotten-dicht-W32-Blaster-greift-an-83631.html
[6] https://www.heise.de/meldung/Security-Threat-Report-Zeit-zum-Patchen-wird-immer-kuerzer-105609.html
[7] https://www.heise.de/meldung/Exploits-fuer-Sicherheitsluecken-in-Windows-aufgetaucht-Update-93539.html
[8] mailto:dab@ct.de
[9] http://www.k-otik.com/exploits/09222004.ms04-28-cmd.c.php
[10] http://www.k-otik.com/exploits/09232004.ms04-28-admin.sh.php