WMF-Exploit tarnt sich als Grußkarte - und grüsst mit Spyware und Trojanern Options

von Mickey vom 30.12.2017 - 172 Hits -

Die Sicherheitsspezialisten von Secunia warnen vor einer kritischen Sicherheitslücke in mehreren Microsoft-Betriebssystemen, wie Windows XP und Windows Server 2003. Manipulierte WMF-Bilddateien können darüber Code einschleusen und zur Ausführung bringen.

Der Exploit lädt, durch einen Fehler in der Bibliothek SHIMGVW.DLL, die von mehreren Anwendungen verwendet wird, beim Aufruf einer präparierten Webseite mit dem IE das Bild automatisch nach (andere Brwoser sind jedoch auch betroffen) und zeigt es, je nach Konfiguration, unter Umständen über die Windows Bild- und Faxanzeige an. Dabei wird Schadcode ins System geschleust, mit den Rechten des Anwenders ausgeführt und mehrere DLLs nachgeladen, die die Startseite ändern und Pop-ups öffnen.

Neben der Bild- und Faxanzeige und Google Desktop genügt auch im Windows Explorer bereits die Voransicht eines präparierten Bildes, um den Schad-Code zu starten.

Ausser wenig hilfreichen Standardtipps wie Firewall einschalten, Updates einspielen und Virenscanner installieren schägt Microsoft das deregistrieren obiger *.dll vor, was dann aber Auswirkungen auf die Voransicht aller Bilddateien mit sich bringt.
Ein Patch steht noch aus.

[Kommentar schreiben]

Ich möchte eine Frage im Forum stellen