104430

Passwortspione nutzen offene Windows-Lücke

26.06.2009 | 15:50 Uhr |

Online-Kriminelle nutzen eine bislang nicht geschlossene Sicherheitslücke in Windows, um Malware einzuschleusen, die Passwörter für Online-Spiele ausspionieren soll. Ein Patch ist noch nicht in Sicht.

Die Ausnutzung der seit Ende Mai bekannten Sicherheitslücke in der Grafikschnittstelle von Windows zieht weitere Kreise. Mitte dieser Woche haben wir bereits über Phishing-Angriffe unter Nutzung der DirectShow-Schwachstelle in Windows 2000, XP und Server 2003 berichtet. Microsoft meldet nun ebenfalls beobachtete Web-Seiten, die Malware mit Hilfe speziell präparierter Mediendateien einschleusen, um Passwörter für Online-Spiele zu stehlen.

Die DirectShow-Lücke geht auf einen Fehler in der Programmbibliothek "quartz.dll" zurück, die für das Abspielen von Quicktime-Filmen in Windows Media Player benötigt wird. Betroffen sind alle DirectX-Versionen bis einschließlich 9.0c. Windows Vista, Server 2008 sowie Windows 7 sind nicht betroffen, die anfällige DLL ist nicht mehr Teil dieser Betriebssystemversionen.

Das von Microsoft im Blog des Malware Protection Center skizzierte Angriffsszenario beginnt mit der Vorbereitung einer Web-Seite, die eine mit Exploit-Code präparierte AVI-Datei lädt. Potenzielle Opfer werden nun auf diese Seite gelockt, etwa per Mail oder durch Suchmaschinenoptimierung mit geeigneten Themen. Derzeit bietet sich etwa der Tod des Popstars Michael Jackson oder der Schauspielerin Farrah Fawcett an, um Besucher anzulocken.

Wird die Web-Seite im Browser geöffnet, wird auch die präparierte AVI-Datei geladen. Sie schleust ein Trojanisches Pferd ein, das Passwörter ausspionieren soll. Der Schädling schickt die abgefangenen Daten schließlich an den Angreifer, der damit versuchen wird seine Brieftasche zu füllen.

Microsofts Anti-Malware-Produkte (OneCare, Forefront , MSE ) erkennen die AVI-Dateien als "Exploit:Win32/CVE-2009-1537", die damit präparierten Web-Seiten als "Exploit:JS/Mult.BM" oder "Trojan:HTML/Redirector.I" und eingeschleusten Schädlinge als "PWS:Win32/Wowsteal.AP", WTrojanDropper:Win32/Dozmot.C" sowie "TrojanSpy:Win32/Lydra.AE". Andere Antivirushersteller verwenden davon abweichende Bezeichnungen.

Ein Sicherheits-Update von Microsoft gegen die DirectShow-Lücke steht noch aus. In der Sicherheitsmitteilung 971778 nennt Microsoft Schutzmaßnahmen ("Mitigations"), namentlich die Deregistrierung der anfälligen DLL-Datei.

0 Kommentare zu diesem Artikel
104430