13090

Hacker verkauften WMF-Exploit für 4.000 Dollar

03.02.2006 | 13:28 Uhr |

Vermutlich richtete sich das Angebot an Internet-Kriminelle, die den Anwendern Ad- und Spyware unterschieben wollen.

Neue Details zum WMF-Exploit verwandeln die Geschichte der Windows-Schwachstelle in einen beinahe filmreifen Krimi. Kaspersky berichtet, dass Hacker ein Programm verkauft haben, mit dem sich die WMF-Sicherheitslücke ausnutzen lässt, um beliebigen Code ins System einzuschleusen.

Die Sicherheitsfirma gibt in ihrem Viren-Bericht für das letzte Quartal einen Überblick über die WMF-Lücke. Demnach wurde der Bug vermutlich Anfang Dezember 2005 von einem Hacker entdeckt. Weder Microsoft noch den Herstellern von Antiviren-Programmen war die Lücke bekannt.

Der Hacker brauchte einige Tage für die Entwicklung eines Exploits, der dann auf mehreren Websites für 4.000 Dollar zum Kauf angeboten wurde. Diese Quellen werden als Ausgangspunkt der Verbreitung angesehen.

Die WMF-Sicherheitslücke gilt als extrem gefährlich, denn sie betrifft alle Windows-Versionen. Allein durch das Ansehen eines manipulierten Bildes im WMF-Format wird der schädliche Code aktiv.

Doch vermutlich wegen des hohen Verkaufspreises verbreiten sich die manipulierten Bilder zunächst nur langsam. Am 26. Dezember 2005 wurden einige Hersteller von Antiviren-Programmen auf die gefährlichen WMF-Dateien aufmerksam und entwickeln passende Signaturen für Ihre Schutzprogramme.

Nun kannte auch Microsoft die Lücke, gab aber bekannt, dass ein Patch erst zum regulären Patch Day im Januar erscheinen soll. Damit schätzt der Software-Riese die Gefahr wesentlich geringer ein als die meisten Sicherheitsexperten. Unter ihnen und in den Medien entwickelte sich eine heftige Diskussion. Am 31. Dezember wurde von Ilfak Guilfanov ein inoffizieller Pacht herausgebracht hat. Erst jetzt änderte Microsoft seine Meinung und veröffentlichte ein Update vorzeitig am 5. Januar ( wir berichteten ).

Vermutlich kam es deshalb zu keiner extremen Verbreitung des schädlichen Codes, da viele Anwender zwischen Weihnachten und Neujahr Urlaub hatten und das Internet entsprechend weniger nutzten. Dennoch taucht der WMF-Exploit in einigen Viren-Top-10-Listen für Januar auf.

0 Kommentare zu diesem Artikel
13090