WMF FAQ Deutsch von Remover Einstellungen

[Remover]

WMF (SANS) FAQ V1.5 DEUTSCH:

Warum ist diese Angelegenheit so wichtig?

Die WMF Sicherheitsluecke benutzt Grafiken (WMF Bilder) um frei waehlbare Programme auszufuehren.
Dies passiert schon beim Anschauen einer Grafik. In den meisten Faellen, muss nichts angeklickt werden.
Selbst wenn Grafiken nur auf dem Computer gespeichert sind, kann dies bereits zur Ausfuehrung fuehren, wenn eine Benutzeroberflaechen-Suchmaschine ein Inhaltsverzeichnis der Festplatte erstellt.
Das anschauen eines Verzeichnisses im Explorer mit "Symbol Groesse (Miniaturansicht)" Bilder kann ebenfalls zur sofortigen Ausfuehrung fuehren.


Ist es besser Firefox oder Internet Explorer zu benutzen?

Internet Explorer zeigt die Bilder direkt an und fuehrt die Sicherheitsluecke damit sofort ohne Warnung aus.
Neue Versionen von Firefox fragen erst bevor sie das Bild anzeigen.
Wie auch immer, in den meisten Umgebungen, bietet das nur einen kleinen Schutz,
da Bilder im allgemeinen als sicher angesehen werden.


Welche Versionen von Windows sind betroffen?

Alle. Windows 2000, Windows XP, (SP1 and SP2), Windows 2003. Alle sind betroffen bis zur einer gewissen Tragweite.
Mac OS-X, Unix oder BSD sind nicht betroffen.

Merke: Wenn du noch immer Win98/ME benutzt, dann ist dies der Moment der Entscheidung.
Wir glauben (ungetestet) das dein System verwundbar ist und es keinen Patch von Microsoft geben wird.
Die Verringerungsoptionen sind sehr limitiert. Du solltest unbedingt auf ein moderneres System aufruesten.


Was kann ich tun, um mich selbst zu schuetzen?

>>>Mittlerweile wurde der offizielle Patch veroeffentlicht! Download unter Windows Update oder direkt hier:
http://www.microsoft.com/technet/security/...n/ms06-001.mspx

1. Microsoft hat noch kein Patch veroeffentlicht. Ein inoffizieller Patch wurde von Ilfak Guilfanov zur Verfuegung gestellt. Unser Tom Liston hat den Patch angeschaut und wir haben ihn getestet. Die angeschaute und getestete Version ist hier http://handlers.sans.org/tliston/wmffix_hexblog13.exe verfuegbar (jetzt als v1.3, MD5: 14d8c937d97572deb9cb07297a87e62a), PGP signatur (signiert mit ISC key) hier. http://handlers.sans.org/tliston/wmffix_hexblog13.exe.asc
Mittlerweile gibt es auch einen Patch v1.4 fuer automatische Installationen z.b. per Loginscript
http://www.hexblog.com/2006/01/silent_wmf_...aller.html#more
DANKE an Ilfak Guilfanov fuer den Patch!!
2.Du kannst die betroffene DLL unregistrieren.
3.Virenscanner geben einen gewissen Schutz.


Um die DLL zu unregistrieren:

Klicke auf Start, klicke ausfuehren, tippe ein
"regsvr32 -u %windir%\system32\shimgvw.dll" (ohne Anfuehrungszeichen),
und dann klicke OK.
Eine Dialog box erscheint zur Bestaetigung das der un-registrierungs Prozess erfolgreich war. Klicke OK um die Dialog Box zu schliessen.

Unsere momentane Empfehlung "nach bester Moeglichkeit" ist die DLL zu unregistrieren UND den inoffiziellen Patch zu benutzen.


Wir funktioniert der inoffizielle Patch?

Die wmfhotfix.dll wird in jeden Prozess injiziert der die user32.dll laedt. Diese DLL patcht (im Speicher) die gdi32.dll's Escape() Funktion so dass, das sie jeden Aufruf ignoriert der den Parameter SETABORTPROC (ie. 0x09) benutzt. Dies erlaubt allen Windows Programmen, WMF Dateien normal zu benutzen, waerend der Schadcode geblockt wird. Die Version des Patches ist an diesem Ort und wurde sehr genau verglichen und getestet mit dem verfuegbaren Source code als auch mit allen bekannten Versionen des WMF Sicherheitslochs.
Er sollte mit WinXP (SP1 and SP2) und Win2000 laufen.


Schuetzt das unregistrieren der DLL (ohne den inoffziellen patch zu verwenden)?

Er hilft vielleicht aber es ist nicht narrensicher.
Wir wollen klarheit schaffen: Wir haben einige starke Anzeichen dafuer, dass nur das einfache unregistrieren der shimgvw.dll,nicht immer erfolgreich ist.
Die .dll kann wieder re-registriert werden von einem boesartigen Prozess oder anderen Installationen und es gibt Anzeichen wo ein re-registerieren der .dll auf einem laufenden System zum Ausfuehren der Sicherheitsluecke gefuehrt hat. Im weiteren kann es moeglich sein das es andere Angriffsverktoren in der Escape() Funktion der gdi32.dll gibt. Bis ein Patch von Microsoft verfuegbar ist, empfehlen wir den inoffiziellen Patch und das unregistrieren der shimgvw.dll.


Soll ich die DLL einfach loeschen?

Es ist vielleicht keine so schlechte Idee, aber der Windows Dateienschutz kann sie evtl. wiederherstellen. Du solltest also erst den Windows Dateienschutz ausstellen. Wenn dann ein offizieller Patch verfuegbar ist, musst du die DLL ersetzen. (Umbenennen, anstatt loeschen ist vielleicht besser, falls man sie doch nochmal braucht.)


Sollte ich alle .WMF Bilder blockieren?

Das mag helfen, ist aber nicht ausreichend. WMF Bilder werden erkannt durch einen speziellen Kopf (Magic Header) und die Dateiendung wird dabei nicht gebraucht.
Boesartige Dateien koennen also mit anderen Dateiendungen ankommen oder in Word Dokumenten eingefuegt sein.


Was ist mit DEP (Daten Ausfuehrungs Verhinderung) und wie hilft mir das?

Mit Windows XP SP2 hat Microsoft DEP eingefuehrt. Dies schuetzt vor einer weiten Anzahl von Sicherheitslueckenprogammen, in dem es die Ausfuerhung von 'daten segmenten' verhindert. Wie auch immer, um richtig zu laufen, bedarf dies Hardware Support. Einige Prozessoren, wie z.b. AMD's 64 Bit CPUs, unterstuetzen den vollen DEP Schutz und verhindern die Ausfuehrung.


Wie gut sind Antivirus Produkte und verhindern sie die Ausfuehrung?

Im moment wissen wir von Versionen der Sicherheitsluecke die von keinen der Antivirus Produkte erkannt wird. Wir hoffen sie bessern schnell nach. Aber es wird hart sein, wirklich alle Versionen abzudecken. Den Virenschutz zu aktualisieren ist notwendig, vielleicht aber nicht ausreichend.


Wie kann eine boesartige WMF Datei in meinem Computer kommen?

Da sind zu viele Methoden um diese alle aufzuzaehlen. E-Mail Dateianhaenge, Webseiten, Instant Messaging sind vielleicht die wahrscheinlichsten Moeglichkeiten. Vergesst aber auch nicht Tauschboersen und andere Quellen.


Ist es ausreichend meinen Benutzern zu erklaeren, das sie keine unsicheren Webseiten aufrufen?

Nein. Es hilft, ist aber nicht ausreichend. Wir haben bereits eine vertrauenswuerdige Webseite (knoppix-std.org) gehabt, die betroffen war.
Es wurde ein Frame benutzt, das User auf eine komprommitierte Seite mit einem boesartigen WMF File umgeleitet hat.
Einige vertrauenswuerdige Seiten wurden schon in der Vergangenheit so missbraucht.


Was ist das aktuelle Problem mit WMF Bildern?

WMF Bilder unterscheiden sich etwas von anderen Grafiken. Sie benutzen anstatt Farbinformationen "dieses Pixel hat folgende Farbe",
auch extern aufzurufende Funktionen. Eine dieser Funktionen kann benutzt werden Programme auszufuehren.


Sollte ich etwas benutzen, wie "rechte verringern" um das Ausmass der Luecke zu reduzieren?

Ja. Arbeitet auch nicht als Administrator bei der alltaeglichen Arbeit. Wie auch immer, dies reduziert nur das Ausmass der Luecke und
wird sie nicht verhindern. Im Web surfen, ist auch nur ein Weg um sich etwas einzufangen. Wenn das boesartige Bild auf dem System ist,
kann es spaeter beim anschauen, auch ausgefuehrt werden.


Sind meine Server verwundbar?

Vielleicht.... erlaubst du das uploaden von Bildern? E-Mail? Werden diese Bilder indexiert? Benutzt du manchmal den Web Browser auf
dem Server? In kuerze: Wenn jemand ein Bild auf dem Server bringen kann, und die verwundbare DLL zeigt diese an, dann sind deine Server sehr verwundbar.


Was kann ich in meinem Sicherheitsbereich tun / Firewall um mich zu schuetzen?

Nicht viel. Ein Proxy server der Bilder von allen Web Seiten blockiert? Wird vielleicht nicht gerade gerne von den Benutzern angenommen.
Zumindestens blockiere .WMF Bilder (schaut oben bezueglich der Dateiendungen...). Wenn dein proxy eine Art Virusscanner hat, vielleicht erwischt er ja die boesartigen Bilder. Dasselbe fuer Mailserver. Je weniger du den Benutzer erlaubst, desto besser ist es. Verstaerktes ueberwachen der Benutzer PC's, gibt vielleicht den entscheidenen Hinweis auf eine Infektion.


Kann ich IDS benutzen um die Luecke aufzuspueren?

Die meisten IDS Hersteller arbeiten an Signaturen. Kontaktiere deinen Hersteller fuer Details. Bleedingsnort.org stellt staendig verbesserte signaturen fuer snort Benutzer zur Verfuegung.


Wenn ich infiziert wurde, was kann ich tun?

Nicht viel :-(. Es kommt darauf an, welche Version davon dich erwischt hat.
Die meisten laden diverse boesartige Komponenen nach. Es kann sehr hart, vielleicht sogar unmoeglich sein, alles zu finden und zu entfernen.
Microsoft bietet freien Support fuer solche Faelle an auf 866-727-2389 (866 PC SAFETY). Fuer Deutschland, Oesterreich und die Schweiz verweist der Konzern auf die ebenfalls kostenlose allgemeine Sicherheits-Hotline, die jedoch nur zu Buerozeiten erreichbar ist (D: 0,12 € pro Minute).
http://support.microsoft.com/securityhome?LN=de&x=9&y=12


Hat Microsoft Informationen dazu verfuegbar?

http://www.microsoft.com/technet/security/...ory/912840.mspx
Der Patch wurde veroeffentlicht. Installationsanleitung weiter unten.....


Was sagt CERT dazu?

http://www.kb.cert.org/vuls/id/181038
http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2005-4560


Es handelt sich um eine Uebersetzung der SANS Internet Storm Center FAQ

V1.0 erste schnelle Uebersetzung
V1.1 Erste Ueberarbeitung - beseitigung von Tippfehlern - Link Support Deutschland
V1.2 WMF Test Links und WMF Checker
V1.3 Kleine Verbesserungen und Hinweis auf Patch 1.4 fuer automatische Installationen
V1.4 Weitere Quellen fuer den Patch - Microsoft Ankuedigung fuer den offiziellen Patch
V1.5 Microsoft Patch mit Anleitung hinzugefuegt

Bitte verbreitet den Link zu diesen Thread auch in andere Security Boards.
Ich denke das diese FAQ vielen nuetzlich sein koennte....

Original Link:
http://isc.sans.org/diary.php?storyid=994&...php?storyid=994

Weitere Downloadquellen fuer den inoffiziellen Patch:
* http://www.grc.com/miscfiles/wmffix_hexblog14.exe
* http://handlers.sans.org/tliston/wmffix_hexblog14.exe
* http://castlecops.com/modules.php?name=Dow...p=getit&lid=496
* http://csc.sunbelt-software.com/wmf/wmffix_hexblog14.exe
* http://www.antisource.com/download/wmffix_hexblog14.exe
Downloadlinks

Die MD5 Pruefsumme fuer die Datei ist 15f0a36ea33f39c1bcf5a98e51d4f4f6.

WMF Testlinks (harmlos):
http://www.heise.de/security/dienste/brows...os/ie/wmf.shtml
http://www.heise.de/security/dienste/email....shtml?mail=wmf
http://kyeu.info/WMF/

WMF Checker von Hexblog:
http://www.hexblog.com/2006/01/wmf_vulnera...ty_checker.html



Microsoft Patch aufspielen:

1. System neu starten um Schadcode Dateien aus dem Speicher zu loeschen
2. Patch downloaden (z.b. ueber Windows Update oder den Link unten) und installieren
http://www.microsoft.com/technet/security/...n/ms06-001.mspx
3. System neu starten um Patch zu aktivieren
4. Inoffiziellen Patch deinstallieren mit einer der folgenden Methoden:
a. Systemsteuerung-Software aufrufen. Nach "Windows WMF Metafile Vulnerability HotFix" schauen und entfernen waehlen
b. oder auf de Kommando Ebene eingeben:
"C:\\Programme\\WindowsMetafileFix\\unins000.exe" /SILENT
c. oder, wenn der msi installer verwendet wurde auf mehreren Systemen, kann er so deinstalliert werden:
msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn
5. Re-registriere die .dll wenn du sie vorher unregistriert hattest (benutze dasselbe Kommando wie davor, nur ohne "-u"):
regsvr32 %windir%\\system32\\shimgvw.dll
6. Optional, starte nocheinmal neu, nur als gute Massregel (nicht erforderlich, aber es schadet auch nicht)

Wie haben den Patch getestet, und er blockiert die attacke genauso, wie der inoffizielle Patch.


Die FAQ steht jetzt auch als PDF File zum Download verfuegbar


Der Beitrag wurde von Remover bearbeitet: 06.01.2006, 17:53

Angehängte Datei(en)

 WMFfaqv13.pdf ( 16.1KB ) Anzahl der Downloads: 1008