Microsoft Windows korrupte WMF Dateien ermöglichen Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Microsoft Windows ist die meistverwendte Betriebssystemreihe auf dem Globus. Eine bislang unbekannte Schwachstelle in der Windows Graphics Rendering Engine wurde gefunden. Betroffen sind die Windows Versionen 98, ME, 2000, XP und 2003. Durch das ausnutzen dieser Verwundbarkeit könnte ein externer Angreifer in der Lage sein willkürlich Code auf dem infizierten Rechner auszuführen. Dies mit den Rechten des Benutzers. Bekannt ist, dass sich die Schwachstelle einen Fehler in der Abhandlung korrupter Windows Metafile Dateien (.wmf) zu Nutze macht. Bislang hat der Hersteller noch keinen Patch zur Verfügung gestellt. Ein Exploit ist im Umlauf (in the wild) und über einschlägige Kanäle beziehbar. Die Interpretation von WMF/EMF-Dateien ist üblich, mitunter auch über HTML im Mail-Verkehr. Benutzer des Internet Explorer können bereits durch die Ansicht einer präparierten Datei in Mitleidenschaft gezogen werden. Das bedeutet eine Infizierung kann automatisert umgesetzt werden. Benutzer alternativer Browser können durch das explizite Öffnen der Datei infiziert werden. Unter anderem wird der Fehler auch in den Datenbanken von X-Force (23846), Tenable (20382) und Exploit-DB (1391) dokumentiert. Ein Bericht in deutscher Sprache wird unter anderem durch Heise bereitgestellt. Unter vuldb.com werden zusätzliche Informationen bereitgestellt. Von weiterem Interesse können die folgenden Einträge sein: 82, 332, 333 und 427.
Für den Vulnerability Scanner Nessus wurde am 05.01.2006 ein Plugin mit der ID 20382 (MS06-001: Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (912919)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family Windows : Microsoft Bulletins zugeordnet und im Kontext l ausgeführt.
Wiedereinmal eine schwerwiegende Lücke in hauseigener Software. Erst diesen November wurde eine sehr kritische Pufferüberlauf Schwachstelle bei der Interpretierung von WMF Dateien rapportiert und per Patch behoben. Wiedereinmal sind Benutzer von HTML-Mails und der Maillösung von Microsoft Exchange/Outlook besonders gefährdet. Ein präpariertes Mail genügt zur Ausführung des Schadcodes. Da nützt auch nichts, wenn der Standardbrowser z.B. Mozilla ist. Outlook interpretiert HTML Dateien mit den hauseigenen IEX Routinen. Gleiches gilt für Groupware welche ebenfalls auf die von Microsoft zur Verfügung gestellte .dll zugreifen (z.B. Notes). Ein gefundenes Fressen für explizite Angriffe und leider auch für ScriptKiddies. Vorallem in der Jahresendzeit (Abschlussbuchungen, Abschlüsse etc.) sind Systemänderungen kaum durchführbar, respektive die Implementierung spezifischer strengerer Regeln auf Sicherheitssystemen. Wer möchte schon an der Behinderung der Abschlussbuchungen schuld sein? In der Windowswelt ist leider nicht alles transparent.
Produkt
Typ
Hersteller
Name
Version
Lizenz
Support
- end of life (old version)
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.3VulDB Meta Temp Score: 7.0
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: H D Moore
Download: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 20382
Nessus Name: MS06-001: Vulnerabilities in Graphics Rendering Engine Could Allow Code Execution (912919)
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍
Saint ID: exploit_info/windows_wmf
Saint Name: Windows WMF handling vulnerability
MetaSploit ID: ms06_001_wmf_setabortproc.rb
MetaSploit Name: Windows XP/2003/Vista Metafile Escape() SetAbortProc Code Execution
MetaSploit Datei: 🔍
Exploit-DB: 🔍
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: PatchStatus: 🔍
Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Patch: MS06-001
Snort ID: 5318
Snort Message: WEB-CLIENT wmf file arbitrary code execution attempt
Snort Pattern: 🔍
Timeline
27.12.2005 🔍27.12.2005 🔍
28.12.2005 🔍
28.12.2005 🔍
28.12.2005 🔍
28.12.2005 🔍
28.12.2005 🔍
28.12.2005 🔍
28.12.2005 🔍
05.01.2006 🔍
05.01.2006 🔍
13.01.2006 🔍
12.03.2021 🔍
Quellen
Hersteller: microsoft.comProdukt: microsoft.com
Advisory: MS06-001
Person: Dan Hubbard
Firma: Websense Security Labs
Status: Bestätigt
CVE: CVE-2005-4560 (🔍)
OVAL: 🔍
X-Force: 23846 - Microsoft Windows GDI32.DLL WMF image rendering code execution, High Risk
SecurityTracker: 1015416 - Microsoft Windows Unspecified WMF Rendering Bug Lets Remote Users Execute Arbitrary Code
SecurityFocus: 16074 - Microsoft Windows Graphics Rendering Engine WMF SetAbortProc Code Execution Vulnerability
Secunia: 18415 - Nortel Products Microsoft Windows WMF "SETABORTPROC" Code Execution, Extremely Critical
OSVDB: 21987 - Microsoft Windows Shimgvw.dll SETABORTPROC Function Crafted WMF Arbitrary Code Execution
Vupen: ADV-2005-3086
Heise: 67794
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Siehe auch: 🔍
Eintrag
Erstellt: 28.12.2005 11:37Aktualisierung: 12.03.2021 09:35
Anpassungen: 28.12.2005 11:37 (106), 08.10.2018 15:44 (7), 12.03.2021 09:35 (3)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.