57904

Neuer Angriffstyp mit Bildern

10.07.2006 | 16:42 Uhr |

Malware wird in unauffälligen Bilddateien oder PDF-Dateien versteckt, die im Browser angezeigt werden.

Bei bisherigen Ansätzen zum Einschleusen von schädlichem Programm-Code mit Hilfe von Bilddateien gibt es in aller Regel kein Bild, das angezeigt werden könnte. Vielmehr führt der Versuch des Öffnens bei anfälligen Programmen zum Absturz, wodurch der Code im Speicher ausgeführt wird. Die Forscher der zu Verisign gehörenden Sicherheitsheitsfirma Idefense haben jetzt einen Weg gefunden, Code in normalen Bilddateien zu verstecken.

Die bislang bekannten Angriffe, etwa der WMF-Exploit , nutzen Sicherheitslücken in Grafikmodulen, indem sie präparierte Dateien verwenden, die auf Grund von Merkmalen wie der Dateiendung als Bild geöffnet werden. Es handelt sich jedoch im Grunde gar nicht um Bilder. Durch einen Pufferüberlauf im Speicher stürzt die Anwendung ab und hinterlässt ausführbaren Programm-Code aus der vermeintlichen Bilddatei im Speicher.

Die von Greg McManus, leitender Sicherheitsforscher bei Idefense, entdeckte Angriffsmethode hingegen verwendet größere Bilddateien, in denen der schädliche Code versteckt wird. Die sichtbaren Bildinhalte bleiben weitgehend erhalten und das Bild wird (zum Beispiel im Web-Browser) scheinbar ganz normal angezeigt. Wie der enthaltene Code dann zur Ausführung gelangen soll, will McManus Anfang August auf der Black Hat Konferenz in Las Vegas demonstrieren.

Sollte sich erweisen, dass die von Idefense entdeckte Angriffsmethode auf breiter Front einsetzbar ist, ohne dass erst noch neue Sicherheitslücken in bestimmten Programmen gefunden werden müssen, kommt viel Arbeit auf die Entwickler von Sicherheitssoftware zu. Sie müssen dann Wege finden, wie schädlicher Code bereits in dem aus dem Internet kommenden Datenstrom entdeckt werden kann, bevor eine solche Datei in einem Programm geöffnet wird. Das ist zwar technisch möglich, kann jedoch die normale Nutzung des Internets ausbremsen.

0 Kommentare zu diesem Artikel
57904