BSI mahnt Windows-Nutzer zum Update

EnterpriseSicherheit

Die jüngste Lücke in Windows macht hochrangigen Sicherheitsprofis Sorgen. Auch im eigenen Interesse sollten die Admins dringend patchen.

Die aktuell bekannt gewordene Schwachstelle im Microsoft Betriebssystem Windows wird nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) akut zur Verbreitung von Schadprogrammen genutzt. Auch das Computer Emergency Response Team ‘MCERT’ warnt und rät dringend zum Update. Microsoft selbst hat wegen der Gefährlichkeit der Lücke bereits einige Tage früher als geplant einen Patch veröffentlicht. Damit sind jetzt die Admins dran, zu patchen und die Warnungen nicht auf die leichte Schulter zu nehmen.

Das Security Update ist erhältlich als MS06-001.  Es richtet sich laut Microsoft erfolgreich gegen die Lücke im Windows Meta File (WMF), auf die bereits hingewiesen wurde. Angriffe können so ablaufen, dass bestimmte WMF-Dateien ausgeführt werden und die Kontrolle über die Systeme verloren gehen kann.

Die Lücke, die inzwischen von mehreren Trojanern und Würmern ausgenutzt wird, ist bereits seit Ende Dezember bekannt und sollte im Rahmen der monatlichen Updates von Microsoft erst am 10. Januar geschlossen werden. Im Unterschied zu vielen anderen Schadprogrammen, die zur Aktivierung eine Aktion des Nutzers voraussetzen, reicht bei der neuen Sicherheitslücke der Besuch einer bösartig manipulierten Webseite aus, um den Trojaner ohne weitere Aktion zu installieren. Im schlimmsten Fall kann der Rechner fremd gesteuert, und so als Versender von Spam-E-Mails missbraucht werden.

Der Microsoft Internet Explorer öffnet WMF-Dateien automatisch und ohne weiteren Dialog, wenn ein solches Bild in eine Webseite integriert wurde. Die Benutzer anderer Webbrowser werden über einen Systemdialog zum Öffnen der Anwendung befragt. Das MCERT empfiehlt daher allen Windows-Nutzern, möglichst bald zu patchen. Der Flicken kann beispielsweise über http://windowsupdate.microsoft.com heruntergeladen werden.

Nutzer, die die Windows-Komponente ‘Automatische Updates’ aktiviert haben, erhalten dieses Update selbständig, ohne dass der Benutzer eingreifen muss. Allerdings kann die Schwachstelle auch über Dateien mit anderen Endungen als .WMF ausgenutzt werden, da Windows XP WMF-Dateien auch nach deren Inhalt mit entsprechenden Anwendungen öffnet. Eine reine Namensfilterung empfiehlt das MCERT daher nicht, es gebe schließlich keine vollständige Sicherheit.

Firmenkunden, die Windows Server Update Services nutzen, bekommen ihr Update laut Microsoft ebenfalls automatisch. Weiterhin wird das Update vom Microsoft Baseline Security Analyzer 2.0, Systems Management Server und Software Update Services unterstützt. Großkunden können das Update auch vom Download Center herunterladen. Microsoft wird weitere Security Updates am Dienstag, den 10. Januar 2006, im Rahmen seines monatlichen Update Programms veröffentlichen. Firmenkunden sollten sich darüber hinaus mit dem Microsoft Security Advisory 912840 vertraut machen, um Attacken auf die WMF-Lücke zu vermeiden.