Wie schütze ich mich vor der WMF-Lücke? (Zweites Update)

Tatsächlich wurde kurz vor Jahresende (29.12.2005) eine solche schwerwiegende Sicherheitslücke entdeckt [1]. Die Lücke steckt in einer Windows-Komponente, die fürs Anzeigen von WMF-Bildern zuständig ist. Dabei kann nur schon durchs Betrachten eines WMF-Bildes (Windows MetaFile) schädlicher Programmcode ausgeführt werden. Im Labor der Antiviren-Experten von F-Secure fand man sogar heraus [2], dass je nach installierter Software nicht nur das Öffnen, sondern auch das ansonsten harmlose Speichern einer schädlichen Datei den PC infizieren kann: Auf einem der F-Secure Test-PCs lief Google Desktop. Als man eine der schädlichen WMF-Dateien auf jenem PC speicherte, hat der im Hintergrund aktive Google Desktop die Datei sofort zu indexieren versucht, wobei der schädliche Code auch gleich ausgeführt wurde.

Die Lücke gilt als gravierend, weil gleich mehrere Umstände zusammenspielen: Zum einen ist quasi jeder Windows-PC verwundbar, da die anfällige Komponente nicht nur von Windows selber, sondern auch von weiteren Anwendungsprogrammen verwendet wird (z.B. von Google Desktop Search, IrfanView uvm.). Der zweite unglückliche Umstand ist der, dass Microsoft im Moment (02.01.2006) noch keinen Patch veröffentlicht hat, um das Leck zu schliessen. Dieser Situation setzt das dritte Problem die Krone auf: Es wurden bereits einige Dutzend Trojaner und Würmer entdeckt, welche diese Sicherheitslücke ausnutzen.

Die Virenscanner können zwar nach einem Update einzelne schädliche Dateien entdecken, sind aber im Moment auch noch nicht imstande, solche Dateien schon aufgrund des Exploits (d.h. an der Ausnutzung der Lücke) zu erkennen.

Wer Windows 2000 oder Windows XP hat, sollte der Reihe nach folgendes tun: Melden Sie sich an Ihrem PC mit Administrator-Rechten an. Um die anfällige Komponente in der Registry zu deaktivieren, gehen Sie zu Start/Ausführen und tippen Sie folgendes ein:

regsvr32 -u %windir%\system32\shimgvw.dll

Bestätigen Sie das mit Enter. Dies macht den PC zumindest etwas weniger anfällig. Während Microsoft selbst den Fall noch untersucht, hat sich ein anderer findiger Programmierer der Sache angenommen, um das Problem für Windows 2000 und XP weitgehend zu beheben. Die Installation dieses Fremd-Patches wird übrigens auch von F-Secure und dem Internet Storm Center empfohlen. Laden Sie also den WMFfix-Hexblog-Patch [3] herunter. Installieren Sie ihn und starten Sie den PC neu. Nun können Sie mit einem zweiten Tool (dem WMF Vulnerability Checker [4]) überprüfen, ob die Lücke erfolgreich gestopft wurde.

Sobald Microsoft selber ein "richtiges" Update hat, sollten Sie vor dessen Installation den WMFfix-Hexblog-Patch via Systemsteuerung/Software deinstallieren. Sie sollten auch das "Entregistrieren" der Datei shimgvw.dll rückgängig machen. Hierfür verwenden Sie den gleichen Befehl wie oben, lassen aber das -u weg:

regsvr32 %windir%\system32\shimgvw.dll

Für Windows 98 und Me sieht die Sache leider etwas schlechter aus. Der inoffielle Hotfix von Hexblog läuft nicht unter diesen Windows-Versionen. Deshalb ein paar Tipps, um die Ansteckungsgefahr etwas zu mildern:

- Schalten Sie in Ihrem Mailprogramm die automatische Anzeige von Bildern aus.

- Öffnen Sie keine Bilder, die Sie per Mail erhalten.

- Stellen Sie Ihr Mailprogramm so ein, dass es auch HTML-Mails nur als Text anzeigt

- Verzichten Sie auf den Besuch unbekannter Webseiten, bis Microsoft eine Lösung bereitgestellt hat.

- Falls Sie Software haben, die im Hintergrund den Inhalt Ihrer Festplatte indexiert (z.B. Google Desktop, Picasa oder andere), dann suchen Sie in diesen Programmen nach einer Möglichkeit, den Indexvorgang abzuschalten.

Einige Virenscanner haben bisher WMF-Dateien nicht als potentiell schädlichen Dateityp betrachtet. Deshalb werden solche Dateien von den im Hintergrund aktiven Virenwächtern auch nicht standardmässig gescannt. Dies werden wohl die meisten Hersteller von Antivirensoftware nun ändern. Schauen Sie sich deshalb unbedingt in nächster Zeit häufiger auf der Webseite Ihres Antivirenherstellers nach einem Update für Ihren Virenscanner um. So hat z.B. Kaspersky [5] schon einen Patch bereitgestellt, der das Echtzeit-Scanning für WMF-Dateien einschaltet.

Update vom 4. Januar 2006:

Zeitweise ist die Hexblog-Seite wegen Überlastung nicht mehr erreichbar. Der Entwickler Ilfak Guilfanov hat deshalb eine alternative Seite aufgeschaltet, die zu diversen anderen Download-Quellen für den Patch verlinkt [6]. Microsoft hat zudem angekündigt, am 10. Januar ein Update zu veröffentlichen, welches das gravierende Leck stopft.

WICHTIG: Update vom 6. Januar 2006:

Windows 98/Me: Lange war unklar, inwieweit diese Windows-Versionen verwundbar sind. Microsoft schreibt, dass die anfällige Systemkomponente auch in diesen Windows-Versionen vorhanden ist. Nur sei bisher kein Szenario bekannt, unter welchem diese Sicherheitslücke in diesen älteren Windows-Versionen missbraucht werden könne. Deshalb, und weil Windows 98 und ME im Prinzip ihre Support-Spanne schon überschritten haben, biete man seitens Microsoft keinen Patch an. In diese Bresche springt der Antivirus-Hersteller Eset/Nod32. Als Benutzer von Windows 98 oder Me sollten Sie den dort bereitgestellten [7] Flicken installieren.

Windows 2000 und XP: Microsoft hat nun schon einige Tage vor dem offiziellen Januar-Patch-Day das sehnlichst erwartete Sicherheitsupdate veröffentlicht. Es wird beim Windows-Update automatisch zur Installation vorgeschlagen. Wer Firefox benutzt, kann das Update auch manuell von dieser Microsoft-Seite [8] herunterladen. Klicken Sie dort auf den für Ihre Windows-Version passenden Link "Download the update" und wählen Sie die Sprache ("Deutsch" bzw. "German") aus. Anschliessend den Patch per Doppelklick installieren.

Falls Sie in Ihrem Windows 2000 oder XP zusätzlich die Datei "shimgvw.dll" mit dem weiter oben erwähnten Befehl aus der Windows-Registrierung entfernt haben, dann können Sie diese Datei nun wieder registrieren. Tippen Sie im "Start/Ausführen"-Feld folgendes ein:

regsvr32 %windir%\system32\shimgvw.dll

Vielleicht haben Sie vor dem Erscheinen des offiziellen Microsoft-Updates auch den Patch von Hexablog installiert. Diesen können Sie nun via "Systemsteuerung/Software" deinstallieren. Wobei dies laut den Antiviren-Experten von F-Secure nicht zwingend notwendig sei.