Belangrijk om te zien is dat de lijst van kwetsbare systemen op
http://support.microsoft.com/kb/979352
breder is dan wat weergegeven wordt in het schema op "More Info on the IE 0-day"
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
dat eerder genoemd werd in
http://www.security.nl/artikel/32100/1/Microsoft_waarschuwt_voor_IE-noodpatch.html

Het bovenstaande vermeld ik, omdat ik die informatie van "More Info on the IE 0-day" eerder aangehaald heb in reacties op
http://www.security.nl/artikel/32097/1/Google_gehackt_via_Internet_Explorer-lek.html
en http://www.security.nl/artikel/32107/1/Duitsland_waarschuwt_voor_Internet_Explorer.html

In die topics heb ik inmiddels verwezen naar de nieuwe informatie,
maar ik wil het toch ook hier nog even rechtzetten.
Bij deze dus.

Ik had eigenlijk jouw bijdrage Spiff moeten meenemen in mijn thread. Het is daarom goed dat je daarom je bijdrage even nogmaals onine zet.

Peter, Spiff en Redactie, bedankt voor de meldingen!

Hieronder info over DEP, hoe je kunt checken of dit aan staat en ten slotte een vraag.

Aanvullende info over DEP (er bestaan 2 soorten: hardware en software) vind je hier: http://en.wikipedia.org/wiki/Data_Execution_Prevention, hier: http://technet.microsoft.com/en-us/library/cc738483(WS.10).aspx en, met name voor XP, hier: http://support.microsoft.com/kb/875352.

Zie http://support.microsoft.com/kb/912923 voor een commandline- (wmic) en grafische tool om vast te stellen welke methode van hardware DEP door jouw PC wordt gebruikt. Opmerkingen:
- voor zover ik weet zijn die tools standaard aanwezig onder XP en hoger
- om e.e.a. te kunnen checken moet je ingelogd zijn met een account dat lid is van de groep Administrators.

De volgende pagina http://hubpages.com/hub/Secure_Windows_XP_with_DEP noemt ook die tools maar daarnaast het programma "Securable.exe" van Steve Gibson (zie http://www.grc.com/securable.htm).

Of in MSIE 8 de beveiliging daadwerkelijk is ingeschakeld kun je zien door in IE8 onder menu "Extra" naar "Internet Opties" te gaan (dit kan ook vanuit het Configuratiescherm). Daarna kies je de tab "Geavanceerd"; in de sectie "Beveiliging" moet een vinkje staan voor "Geheugenbeveiliging inschakelen om online aanvallen te helpen voorkomen" (jouw account moet lid zijn van de groep Administrators om deze instelling te kunnen wijzigen, bovendien moet je alle MSIE vensters sluiten en herstarten om een wijziging te activeren, voor de zekerheid kun je uit- en weer inloggen).

Voor Engelstalige MSIE8 versies: Tools -> Internet Options -> Advanced -> in de sectie "Security": zorg dat er een vinkje staat voor "Enable memory protection to help mitigate online attacks".

Verder kun je met Process Explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) per applicatie (ik neem aan ook bij MSIE7 en ouder na het draaien van de juiste MS FixMe) zien of DEP daarwerkelijk aan staat: in Process Explorer rechts op het proces klikken en Properties kiezen: de info staat dan onderaan de "Image" tab (en klopt alleen als je Process Explorer met admin rechten draait).

Persoonlijk vind ik het erg belangrijk om te checken of een beveiligingsinstelling echt werkt (ik heb te vaak meegemaakt dat allerlei onverwachte zaken roet in het eten gooiden, en dan waan je je onterecht veilig). Helaas heeft Heise op hun browser-test-pagina's nog niet zo'n test, zie http://www.h-online.com/security/services/Demos-for-Internet-Explorer-758059.html (Engelstalig) of http://www.heise.de/security/dienste/Demos-fuer-den-Internet-Explorer-437526.html (Duitstalig).

Ik vermoed dat een "DEP-exploit" pagina, naast een foutmelding, ook een event met ID 1048 zal genereren (zie http://msdn.microsoft.com/en-us/library/dd565649(VS.85).aspx - die pagina beschijft trouwens hoe je zelf een ActiveX control kunt maken die zo'n fout veroorzaakt, maar een page op Internet is voor iedereen handig).

Weet iemand een testpagina met een onschuldige POC waarop MSIE8 (met DEP aan) een DEP foutmelding genereert?

@Bitwiper:

Ik heb wel een exploit voor je gevonden, maar deze is voor Metasploit. Heb hem zelf nog niet getest, maar ik denk haast wel dat je een melding van DEP zal krijgen als je MSIE gebruikt. De exploit is gemaakt voor MSIE 6 met XP SP 2. Hier de link naar de broncode.

http://www.exploit-db.com/exploits/11167

Hoe moest ik ook all weer DEP Inschakelen?. Deed ik dat door in de boot.ini op C:? de regel /noexecute=optin

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Starter Edition" /noexecute=optin /fastdetect /noguiboot /nodebug
C:\ = "Microsoft Windows"

Thanks, die kwam ik gisteren ook al tegen, maar ik heb liever een testpagina op een site die ik vertrouw (zoals heisec.de of secunia) dan een exploit met daarin niet-zomaar-te-lezen code waarboven als comment staat dat calc.exe zal worden gestart (ik kan die code wel disassembleren maar heb daar nog geen tijd/zin in gehad).

Hoewel dit soort POC's meestal onschadelijk zijn, is het in het verleden wel voorgekomen dat ze een heel andere functie bleken te hebben dan geadverteerd... (en in tegenstelling tot het bezoeken van een website start je met zo'n python script wel gewoon code op je eigen machine - nooit doen zonder goed te hebben onderzocht en gesnapt wat er gaat gebeuren, tenzij je dit in een geheel afgeschermde omgeving doet).

Hoe het precies zit op Windows XP Starter Edition weet ik niet, maar op de PC waarop ik dit tik ziet boot.ini er uit als volgt: Die "/noexecute=optin" is, als ik me niet vergis, standaard sinds XP SP2.

Ha, ik heb ook helemaal geen ervaring met XP Starter Edition?
Dat is toch die versie met al die beperking die Uncle Billy Gates heeft opgelecht.

Zie foto!
http://mcsearcher.com/backgrounds/ff4668c6.jpg