Achtung: Neue gefährliche Sicherheitslücke in Windows - Exploit im Umlauf
Diverse Sicherheitsspezialisten - etwa Secunia, das Internet Storm Center und F-Secure - warnen alle Anwender vor einer gefährlichen Sicherheitslücke in Windows XP und Windows 2003, die es einem Angreifer erlaubt, beliebigen schädlichen Code auf einem Rechner auszuführen. Für die Sicherheitslücke existiert derzeit kein Patch und auch Windows XP mit installiertem Service Pack 2 ist betroffen.
Die neu entdeckte Sicherheitslücke in Windows entsteht durch einen Fehler von Windows beim Umgang mit Windows Metafile Dateien (".wmf"). Dieser Fehler kann dazu führen, dass beim Öffnen einer entsprechend präparierten WMF-Datei in der "Windows Bild- und Faxanzeige" schädlicher Code auf dem Rechner eingeschmuggelt wird.
Genauere Details zu der Sicherheitslücke sind derzeit nicht bekannt und es existiert auch noch kein Patch. Betroffen sind alle Windows XP-Versionen und Windows Server 2003. Auch Windows XP mit installiertem Service Pack 2 ist nicht sicher.
Die Sicherheitslücke ist vor allem deshalb gefährlich, weil bereits ein Exploit im Umlauf ist, der diese Sicherheitslücke ausnutzt, um bei den Anwendern diverse Trojaner auf das System zu befördern. Unter anderem wird auf den befallenen Rechnern eine Software installiert, die den Namen AVgold trägt und vorgibt, ein Anti-Malware-Programm zu sein, um dann den Anwender mit falschen Sicherheitsalarm-Meldungen auf schädliche Web-seiten zu locken.
Im Internet gibt es bereits Web-seiten, bei denen die schädlichen WMF-Dateien abgelegt sind und beim Besuch mit dem Internet Explorer automatisch eine Infizierung hervorrufen können, wenn der Internet Explorer beim Besuch der Site, die WMF-Datei automatisch öffnet oder in einer Vorschau anzeigt. Beim Besuch der Website mit Firefox erscheint ein Download-Dialog, der zum Öffnen der WMF-Datei mittels der "Windows Bild- und Faxanzeige" auffordert. Wer dieser Aufforderung folgt, öffnet sein System ebenfalls für Schädlinge. Ähnlich wie Firefox verhält sich Angaben von F-Secure zufolge auch Opera in der aktuellen Version 8.51.
Die Sicherheitsexperten von Secunia werten die Sicherheitslücke in ihrer Warnung als "extrem kritisch" und empfehlen, keine WMF-Dateien zu öffnen, die von einer nicht vertrauenswürdigen Site stammen. Außerdem sollte beim Internet Explorer die Sicherheitsstufe auf Hoch gesetzt werden (unter "Extras, Internetoptionen, Sicherheit").
Update 16:40 Uhr:
In folgender Tabelle haben wir die Erkennungen zweier Exploit-Dateien (WMF) durch aktuelle Virenscanner zusammengefasst. Stand: Mittwoch Nachmittag.
| Antivirus | WMF-Datei 1 | WMF-Datei 2 |
|---|---|---|
| AntiVir | TR/Dldr.WMF.Small | TR/Dldr.WMF.Harnig |
| Avast! | -/- | -/- |
| AVG | -/- | -/- |
| BitDefender | -/- | -/- |
| ClamAV | -/- | -/- |
| Command AV | -/- | -/- |
| Dr Web | Exploit.MS05-053 | -/- |
| eSafe | -/- | -/- |
| eTrust-INO | -/- | -/- |
| eTrust-VET | -/- | -/- |
| Ewido | -/- | -/- |
| F-Prot | -/- | -/- |
| F-Secure | Exploit.Win32.Agent.r | Trojan-Downloader.Win32.Agent.acd |
| Fortinet | W32/WMF-exploit | W32/WMF-exploit |
| Ikarus | -/- | -/- |
| Kaspersky | Exploit.Win32.Agent.r | Trojan-Downloader.Win32.Agent.acd |
| McAfee | Exploit-WMF trojan *) | Exploit-WMF trojan *) |
| Nod32 | -/- | -/- |
| Norman | -/- | -/- |
| Sophos | -/- | -/- |
| Symantec | Download.Trojan *) | Bloodhound.Exploit.56 *) |
| Trend Micro | -/- | -/- |
| *) noch nicht in den offiziellen Updates enthalten |
