Dipl.-Inform. Carsten Eilers

Die Schwachstelle mit der CVE-ID CVE-2011-3402 befindet sich in der Win32k TrueType Font Parsing Engine. Obwohl die Schwachstelle im Rahmen gezielter Angriffe (eben durch Duqu) ausgenutzt wird, sieht Microsoft zur Zeit "low customer impact". Das ist sicher Ansichtssache, die darüber angegriffenen Kunden dürften das ganz anders sehen.

Microsoft untersucht die Schwachstelle noch, und je nach Ergebnis wird es irgendwann ein Update geben, je nach Dringlichkeit im Rahmen eines der üblichen Patchdays oder außer der Reihe. Vorerst gibt es einen Workaround: Indem der Zugriff auf die betroffene Bibliothek T2EMBED.DLL verhindert wird, wird die Ausnutzung der Schwachstelle darin unmöglich gemacht. Das kann durch einen Klick auf ein Fix it Tool erledigt werden, ein weiteres erlaubt es, den Workaround wieder aufzuheben. Der Nachteil des Workarounds: Programme, die auf die Verwendung eingebetteter Fonts angewiesen sind, können diese nicht mehr darstellen. Und diese Darstellung ist laut Chester Wisniewski von Sophos "a common practice in Microsoft Office documents, browsers and document viewers".

Wenn ein Programm nach dem Aktivieren des Workarounds also nur noch Müll anzeigt, haben Sie die Wahl zwischen Teufel und Beelzebub: Entweder Sie lassen den Workaround aktiv und verhindern Angriffe über die Schwachstelle, können das Programm aber nicht mehr nutzen. Oder Sie deaktivieren den Workaround wieder und laufen dann Gefahr, Opfer eines Angriffs auf die Schwachstelle zu werden. Bisher handelt es sich zwar "nur" um gezielte Angriffe, aber man weiß ja nie, was da noch kommt.

Wie kann die Schwachstelle ausgenutzt werden?

Als "Mitigating Factors" nennt Microsoft nur einen:

"The vulnerability cannot be exploited automatically through e-mail. For an attack to be successful, a user must open an attachment that is sent in an e-mail message."

Mal abgesehen davon, dass es kein Problem ist, einen Benutzer durch geschicktes Social Engineering zum Öffnen eines E-Mail-Anhangs zu bewegen, kann eine präparierte Datei natürlich auch über einen Download auf den Rechner gelangen und dann geöffnet werden. Im Fall von Duqu waren es per E-Mail zugesandte Word-Dokumente, aber es gibt sicher noch andere Dateiformate und Programme, die als Einfallstor genutzt werden können. Und wie sieht es eigentlich mit Drive-by-Infektionen aus? Die Beschreibung des Font Embedding fängt in diesem Zusammenhang wenig vielversprechend an:

"Unlike traditional print-based designers, Web page designers are limited to specifying fonts installed on a user's computer. This effectively limits the fonts that can be used on a Web page to those that are typically installed on a user's computer. For many designers, this is a problem because few fonts are consistently installed on users' computers. The Microsoft OpenType and TrueType specifications provide a solution to this problem, document font embedding."

Und es geht nicht wirklich beruhigender weiter:

"Depending on how Internet Explorer security settings are set, you might receive a warning every time a page accesses an embedded font. Although your security level settings can easily be modified, you should first access the Internet Explorer online help and read the sections discussing security."

Benutzer neigen dazu, ein Programm unsicher zu konfigurieren, wenn sie damit erreichen, dass alles so funktioniert, wie sie es sich wünschen.

Und im Security Advisory gibt Microsoft im letzten Punkt der FAQ zu, dass ein Angriff über Webseiten möglich ist:

"How could an attacker exploit the vulnerability?
There are multiple means that could allow an attacker to exploit this vulnerability, including providing documents or convincing users to visit a Web page that embeds TrueType. The specially crafted TrueType font could then exploit the vulnerability."

Das klingt doch sehr danach, dass die Schwachstelle sich für den Einsatz im Rahmen von Drive-by-Infektionen eignet. Und mir fällt dabei noch etwas anderes auf. Woran denken Sie, wenn Sie den letzten Satz im Zitat lesen: "The specially crafted TrueType font could then exploit the vulnerability."? Vielleicht bin ich ja einfach Berufspessimist, aber was passiert, wenn Cyberkriminelle entsprechend präparierte Fonts verbreiten? Jedes Mal, wenn so ein Font genutzt wird, erlangen sie darüber dann die Kontrolle über den entsprechenden Rechner. Das sind doch ziemlich beunruhigende Aussichten, oder?

Aber es geht noch schlimmer: Bisher wurden für Drive-by-Infektionen die einzelnen Webseiten manipuliert, um darüber Exploits auf den Rechner der Website-Besucher einzuschleusen. Jetzt reicht es, in einer Website, die eingebettete Fonts nutzt, die vorhandenen Fonts durch präparierte auszutauschen. Kein verräterischer JavaScript-Code in der Webseite mehr, keine versteckten iframes, nichts, was irgendwie auffallen könnte. Evtl. stimmt die Dateigrößer der ausgetauschten Fonts nicht, aber u.U. lässt sich die auch so anpassen, dass die Manipulation erst bei einem direkten Vergleich der Dateien auffällt. Besser kann man eine Manipulation für eine Drive-by-Infektion wohl nicht verstecken.

Vorsicht ist die Mutter der Porzellankiste

Bisher gibt es nur die gezielten Angriffe, und die Verbreitung von Duqu ist minimal. Es hat ja auch einige Zeit gedauert, bis überhaupt ein Infektionsweg von Duqu gefunden wurde. Die Gefahr, Opfer von Duqu zu werden, ist für die meisten Computernutzer minimal. Welche Unternehmen oder allgemein Organisationen gefährdet sind, ist zwar nicht bekannt, aber auch dabei gilt: Die Gefahr, Opfer von Duqu zu werden, ist für die meisten Unternehmen oder allgemein Organisationen minimal.

Aber nachdem die 0-Day-Schwachstelle nun bekannt ist und die Cyberkriminellen wissen, dass ein Patch noch etwas auf sich warten lässt, könnten sie auf die Idee kommen, die Schwachstelle im Rahmen von Drive-by-Infektionen auszunutzen. Ob Sie dazu in der Lage sind, ist eine andere Frage. Details über die Schwachstelle sind nur den Duqu-Entwicklern bekannt (und natürlich Microsoft und allen anderen, die den 0-Day-Exploit analysieren), aber evtl. reicht die Information darüber, wo sich die Schwachstelle befindet, ja aus, um sie z.B. über Fuzzing einzugrenzen und dann einen Exploit dafür zu entwickeln?

Und dann sollte der Workaround besser aktiv sein. Denn ob die Virenscanner so einen neuen Angriff erkennen, ist nicht sicher. Auch wenn Microsoft die Antiviren-Hersteller darüber, wie sie Angriffe (durch Duqu oder auf die Schwachstelle allgemein?) erkennen können, informiert hat.

Sorin Mustaca von Avira rät sogar vom Einsatz des Workarounds ab:

"It is highly improbably that you will get infected by not patching this vulnerability since all antivirus solution currently detect the malicious files. If you don’t have an antivirus installed then please get one here. This is why we advise not to play with this workaround since you could do more damage than good."

Die Virenscanner erkennen die aktuellen bösartigen Dateien. Und wie ist es mit möglichen neuen? Es gibt mit Sicherheit etliche Möglichkeiten, die Schwachstelle auszunutzen. Und die werden wirklich alle erkannt? Das sehe ich etwas anders. Und ich vermute mal, kein Antivirenhersteller wird eine Garantie abgeben wollen, oder?

Und was ist mit Duqu?

Zu Duqu gibt es nichts wesentlich neues. Karl Dominguez von Trend Micro hat eine grafische Darstellung der Infektion veröffentlicht, und Chester Wisniewski von Sophos weist darauf hin, dass 0-Day-Exploits selten zum allgemeinen Verbreiten von Schadsoftware ausgenutzt werden. Aber Sie wissen ja: Keine Regel ohne Ausnahme. Und sollte die Schwachstelle nun z.B. im Rahmen von Drive-by-Infektionen ausgenutzt werden, ist es ja keine wirkliche 0-Day-Schwachstelle mehr: Sie ist sowohl bekannt als auch durch den Workaround korrigierbar.

Von F-Secure gibt es eine sehr ausführliche FAQ zu Duqu. Die entscheidenden Fragen "Wer hat Duqu entwickelt?" und "Was ist das Ziel der Angriffe?" können aber nur die Entwickler oder ggf. ihre Auftraggeber beantworten.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Stuxnet - Ein paar Fakten

Standpunkt: Stuxnet - Wer will da wem an die Produktion?

Standpunkt: Stuxnet - Der erste Schritt zum Cyberwar?

Standpunkt: Stuxnet - Ein Überblick über die Entwicklung

Standpunkt: Stuxnet: Kaum neue Fakten, ein neues Gerücht

Standpunkt: Stuxnet - Stand der Dinge

Standpunkt: Der Wink mit dem Stuxnet

Standpunkt: Neues zu Stuxnet, Android-Trojanern, USB-Keyloggern und Facebook

Standpunkt: Conficker ist wieder da. Und was macht Stuxnet?

Das RAT, das aus dem Stuxnet kam

Standpunkt: Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Standpunkt: Neues zu SSL und Duqu

Standpunkt: Wie gefährlich ist die Duqu-0-Day-Schwachstelle?

Standpunkt: Neues zu Duqu