Angriffe auf DirectShow-Schwachstelle

Seit Ende Mai ist eine Sicherheitslücke in der Windows-Grafikschnittstelle DirectX bis Version 9c bekannt, genauer in der Komponente DirectShow. Dabei geht es um betagten Code, der es ermöglicht Quicktime-Filme anzuzeigen - den "QuickTime Movie Parser Filter" in der Datei "quartz.dll". In Windows 7, Vista und Server 2008 ist dieser Code nicht mehr enthalten, wohl aber in Windows XP und älteren Versionen.

Der Antivirushersteller Symantec berichtet in seinem Security Response Blog, dass Exploit-Code für diese Schwachstelle inzwischen in mindestens ein Angriffs-Toolkit integriert worden ist. Es wird zum Beispiel bei Phishing-Attacken verwendet, die eine Anmeldeseite für Windows Live vortäuschen.

Neben dem Phishing nach Zugangsdaten prüft diese Seite auch, ob der Rechner des Besuchers anfällig für die DirectShow-Lücke ist und lädt gegebenenfalls eine speziell präparierte AVI-Datei, die den Exploit-Code enthält. Neben technisch innovativen Methoden zum Ausnutzen der Sicherheitslücke ist der wesentliche Aspekt dieses Angriffs, dass ein Trojanisches Pferd namens "Trojan.Cipevas" eingeschleust wird, falls der Angriff erfolgreich ist.

Der Schädling installiert sich im System32-Verzeichnis von Windows als "groupenv32.dll" und ersetzt dabei eine vorhandene Datei dieses Namens beim nächsten Start des Computers. Er legt einen automatisch startenden Dienst namens "RasAuto" mit der Beschreibung "Remote Access Auto Connection Manager" an. Er verbindet sich mit einer von mehreren IP-Adressen und übermittelt ausspionierte Daten.

Ein Sicherheits-Update von Microsoft, das diese Schwachstelle beheben würde, gibt es noch nicht. Microsoft hat die Sicherheitsmitteilung 971778 veröffentlicht, die Workarounds zum Schutz anfälliger Rechner nennt.