Schwachstelle bei der Anzeige von Thumbnails in Microsoft Windows

5. Jänner 2011
Update am 11. Jänner 2011

Die Sicherheitslücke ermöglicht Remote Code Execution - CERT.at ersucht daher um Beachtung der folgenden Meldung.

Beschreibung

Microsoft warnt vor einer kritischen Sicherheitslücke in Windows, die bei der Anzeige von Thumbnail-Bildern zum Tragen kommt. Dabei lässt sich durch entsprechend präparierte Bilder ein Stacküberlauf erzielen, der als Basis für eine anschließende Remote Code Execution genutzt werden kann. Weitere technische Details sind den Unterlagen zweier Sicherheitsexperten zu entnehmen, die bereits im vergangenen Dezember im Zuge eines Vortrages auf diese Lücke aufmerksam gemacht haben.

Update (11. Jänner 2011):
Es ist momentan unklar, ob die Microsoft Windows Bild- und Faxanzeige auch von dem gegenständlichen Problem betroffen ist - letztere bedient sich ebenso der betroffenen Bibliothek (shimgvw.dll). Seitens Microsoft gibt es diesbezüglich noch keine Aussage. CERT.at empfiehlt daher, diesen Umstand zu berücksichtigen und bei der Anzeige von Grafiken (Bilder, Fotos, ...) aus nicht vertrauenswürdigen Quellen entsprechend Vorsicht walten zu lassen.

Als Infektionsszenario skizziert Microsoft den Verbreitungsweg über Email - das Öffnen eines angehängten Word- oder Powerpoint-Dokuments, das ein solches Bild enthält, wäre bereits ausreichend. Aber auch der Besuch eines Netzwerk-Shares, eines UNC- oder WebDAV-Pfades, oder auch eines USB-Sticks würde durch ein entsprechendes, dort hinterlegtes Bild, zu einer Infektion führen.

Auswirkungen

Da der Angreifer dadurch prinzipiell beliebigen Code auf betroffenen Systemen ausführen kann, sind alle Daten auf diesen Systemen, sowie potentiell alle durch diese erreichbaren (etwa durch ausspionierte Zugangsdaten, VPN, Fileshares, etc.) Daten und anderen Systeme gefährdet.

Ein entsprechendes Exploit-Modul ist via Metasploit bereits beziehbar. Es ist demnach zu erwarten, dass diese Schwachstelle schon bald in großem Stil ausgenützt wird.

Betroffene Systeme

Alle Versionen von Microsoft Windows mit Ausnahme von Windows 7 und Server 2008 R2.

Abhilfe

Ein Patch seitens Microsoft steht noch nicht zur Verfügung. Microsoft empfiehlt in seinem Advisory die Zugriffsberechtigungen der betroffenen Bibliothek (shimgvw.dll) entsprechend einzuschränken. Dies hat aber auch zur Folge, dass Vorschauen legitimer Bilder nicht mehr funktionieren.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Advisory von Microsoft (englisch)
http://www.microsoft.com/technet/security/advisory/2490606.mspx
Vortragsunterlagen der Entdecker
http://www.exploit-db.com/author/?a=3094
Metasploit-Modul
https://www.metasploit.com/redmine/projects/framework/repository/revisions/11466/entry/modules/exploits/windows/fileformat/ms11_xxx_createsizeddibsection.rb
Update: Warnung von Bürger-CERT
http://www.buerger-cert.de/techwarnung_archiv.aspx?param=Zxo7YT%2f0plf547PoiK%2fv5g%253d%253d
Update: Advisory von Microsoft (deutsch)
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/2490606.mspx