Malware nutzt MIDI-Lücke in Windows

[Christoph]

Zitat:

Eine Sicherheitslücke in der Windows Multimedia-Bibliothek, gegen die Microsoft beim ersten Patch Day dieses Jahres ein Update bereit gestellt hat, wird für Angriffe im Web ausgenutzt. Dabei wird mit Hilfe speziell präparierter Web-Seiten Malware in Rechner eingeschleust, auf denen das Sicherheits-Update noch nicht installiert ist.

Im Malware Blog des Antivirusherstellers Trend Micro berichtet Roland Dela Paz über einen Exploit für die MIDI-Sicherheitslücke in Windows, die Microsoft im Security Bulletin MS12-004 behandelt hat. Eine dafür präparierte Web-Seite enthält zwei schädliche Elemente: eine speziell gestaltete MIDI-Datei sowie Javascript-Code, der in die HTML-Seite eingebetteten Shell-Code dekodiert.

Die MIDI-Datei mit dem Exploit-Code für die Windows-Lücke wird über den HTML-Tag EMBED in die Seite eingebunden und nutzt die Schwachstelle in der Systembibliothek winmm.dll aus. Der Javascript-Code dekodiert den Shell-Code, der auf dem anfälligen PC ausgeführt wird. Dieser lädt ein Trojanisches Pferd von einem Server im Internet herunter und startet es. Währenddessen sieht der Benutzer lediglich ein leeres Fenster des Windows Media Player.

Die noch nicht abgeschlossene Analyse des als "TROJ_DLOAD.QYUA" bezeichneten Schädlings hat bislang ergeben, dass dieser eine Rootkit-Komponente (Tarnkappe) installiert und eine weitere Komponente aus dem Internet herunter lädt. Bei dieser handelt es sich um eine Hintertür (Backdoor), die einem Angreifer den Zugriff auf den verseuchten PC ermöglicht.

Da der Exploit-Code zur Ausnutzung der MIDI-Lücke veröffentlicht ist, sind weitere Angriffe ähnlicher Art zu erwarten. Typischerweise werden potenzielle Opfer mit Links in Mails oder Chat-Dialogen auf vorbereitete Web-Seiten gelockt. Wer stets alle Sicherheits-Updates installiert, nicht gleich jeden Link anklickt und eine aktuelle Antivirus-Software installiert hat, bietet Online-Kriminellen im Web eine deutlich reduzierte Angriffsfläche.

Quelle: http://www.pc-magazin.de/news/malwar...42539,185.html

[Christoph]

Zitat:

Spiel mir das Lied vom Rootkit

Die kritische Lücke in der Windows-Multimediabibliothek "winmm.dll" wird bereits aktiv zur Verbreitung von Rootkits ausgenutzt, warnen die Antivirenexperten von Trend Micro. Angreifer betten eine speziell präparierte MIDI-Datei in Webseiten ein, die vom Internet-Explorer-Plugin des Windows Media Player geöffnet wird. Statt den Webseitenbesucher mit Hintergrundmusik zu beschallen, nutzt die MIDI-Datei die Sicherheitslücke zum Ausführen von Shellcode aus, der ein Rootkit im System verankert.

Dabei nutzen die Angreifer das sogenannte Heap Spraying, bei dem sie ihren Code mehrfach auf dem Heap einer Anwendung verteilen, um sicherzustellen, dass er ihn auch anspringen kann. Dabei schreiben sie lange Folgen von NOP-Befehlen in den Speicher, an deren Ende der eigentliche Schadcode wartet. Selbst mit einem ungezielten Sprung in den Heap ist es sehr wahrscheinlich, auf einer NOP-Rutsche zu landen und schließlich den Code zu starten.

Betroffen sind alle Windows-Versionen außer Windows 7. Microsoft hat die Lücke bereits vor zwei Wochen an seinem Januar-Patchday geschlossen. Wer die Patches noch nicht installiert hat, sollte das spätestens jetzt nachholen – denn mit Hilfe eines frei zugänglichen Metasploit-Moduls kann sich inzwischen jeder einen passenden Exploit bauen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...t-1424426.html