Kriminelle nutzen kürzlich gepatchte WMP-Lücke aus

Trend Micro meldet eine Reihe von Angriffen, die die vergangene Woche von Microsoft gestopfte Lücke MS12-004 ausnutzen. Sie laufen komplett im Hintergrund. Der Nutzer kann bestenfalls bemerken, dass Windows Media Player eine Datei abspielt.

Die heruntergeladene Windows-Media-Datei ist aber ein Trojaner mit Rootkit-Funktionen. Den Sicherheitsforschern zufolge besteht der Angriff letztlich aus zwei Komponenten: dem präparierten MIDI-Audiofile und JavaScript-Code, der für die Ausführung sorgt. Von der Schwachstelle betroffen sind die Windows-Multimedia-Bibliothek sowie DirectShow unter Windows XP, Server 2003, Vista, Server 2008, 7 und Server 2008 R2. Nutzer ohne automatische Windows-Updates sollten die zwei Windows Media Player betreffenden Updates von vergangener Woche daher sofort installieren.

Auch Forscher von IBM ISS haben sich zu den beiden Schwachstellen geäußert. Sie seien extrem leicht auszunutzen: „Abgesehen davon, dass es schon Schadcode dafür gibt, wurden detailreiche Diskussionen über Details der Schwachstelle und mögliche Malware dafür beobachtet. Die vergleichsweise einfache Überprüfbarkeit, ob die Schwachstelle auf dem Rechner eines potenziellen Opfers noch offen ist, wird zweifellos zu mehr Malware führen, die dort ansetzt.“

Als nächste Stufe könnte Code für MS12-004 in Malware-Baukästen Platz finden. Dies würde die Verbreitung des Schadcodes drastisch erhöhen.

Microsoft selbst hatte die beiden verwandten Schwachstellen als „kritisch“ bewertet und einen Exploit innerhalb von 30 Tagen prognostiziert, womit es offenbar richtig lag. Insgesamt veröffentlichte es an seinem ersten Patchday im neuen Jahr sieben Updates, die insgesamt acht Anfälligkeiten behoben.