Gevaarlijke 0day exploit infecteert Windows XP systemen
Op de Buqtrag mailinglist is een link verschenen naar een gevaarlijke 0day exploit die volledig gepatchte Windows XP systemen kan infecteren. Het gaat waarschijnlijk om een kwetsbaarheid in de Graphics Rendering Engine van Windows.
De website opent een WMF (Windows Meta File), die een Trojan dropper op het systeem installeert, zelfs als er een volledig bijgewerkte versie van Norton Anti-Virus wordt gebruikt, hoewel het virus wel door de scanner van F-Secure zou worden gezien. De dropper downloadt Winhound, een nep anti-spyware/virus programma die de gebruiker vraagt om de volledige versie te kopen, waarmee de gevonden "dreigingen" verwijderd kunnen worden.
Een test van het Internet Storm Center liet zien dat de aanval door DEP (Data Execution Prevention) werd voorkomen. In Internet Explorer wordt automatisch de "Windows Picture and Fax Viewer" gestart, waarmee de exploit wordt uitgevoerd.
Firefox gebruikers zijn niet volledig immuun, want bezoekt men een pagina met de exploit, dan verschijnt er een venster waarin wordt gevraagd of de gebruiker de afbeelding via de Windows Picture and Fax Viewer wil bekijken. Bekijkt men het "plaatje" dan wordt de kwaadaardige code ook uitgevoerd.
Hieronder de link in kwestie. Er wordt dringend aangeraden de website alleen te bezoeken als je weet wat je doet. Om ongelukjes te voorkomen hebben we een punt in de URL gezet: unionseek (punt) com/d/t1/wmf_exp.htm
onvoldoende waarschuwing. Je moet expliciet zeggen dat je besmet kunt
raken met de trojan door alleen op de link te klikken.
Er is natuurlijk geen enkele reden om naar die site te gaan voor mensen
die geen malware specialist zijn.
Elke virusscanner heeft zijn pro's en zijn contra's.
Ik heb de betreffende link al in de zone van websites geplaatst met
beperkte toegang. De Firewall is al geconfigureerd, waardoor de
domeinnaam geblokkeerd is. Sluw doorlinken via een andere website is
dan ook niet meer mogelijk.
EEN TWEEDE VRAAG IS NOG DRINGENDER : WANNEER GOOIT MICROSOFT DIT ERNSTIGE LEK DICHT??
DIT ERNSTIGE LEK DICHT??
Is dit lek erg genoeg? Dan zit ie misschien wel in de
volgende patchcyclus... Mits de patch voldoende getest is
natuurlijk, anders kan het nog een extra maandje duren...
Ik zou zeggen: release de broncode en duizenden
ontwikkelaars zullen zich er over ontfermen en extreem snel
met patches aan komen zetten... Iedereen blij... Toch?
De Google Desktop opent deze files automatisch, zelfs als de files met
wget zijn binnengehaald.
Erg genoeg?
Ik heb het getest:
- Op server exploit draaien
- Op client klikken op http://21.xx.xx.xx:8080/anything.wmf
resultaat op server:
.
.
[*] Got connection from 21x.xx.xx.xx:4321 <-> 8x.xx.xx.x4:1076
Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:Documents and SettingsXxxxxBureaublad>
1. Netspanning
2. Internetverbinding
3. Windows besturingsysteem
:LOL:
http://www.security.nl/article/12590/1/Extreem_ernstig_lek_in_Windows_XP_en_Windows_Server_2003.html
- Q -
Iedereen die een web site bezoekt denkt te weten wat ie
doet, dat is
onvoldoende waarschuwing. Je moet expliciet zeggen dat je
besmet kunt
raken met de trojan door alleen op de link te klikken.
Er is natuurlijk geen enkele reden om naar die site te gaan
voor mensen
die geen malware specialist zijn.
Als jij naar een pagina als NU.NL gaat, dan maakt jouw PC
verbindingen met gemiddeld 400 url's. Het merendeel is niet
eens van de IDG groep. Er hoeft maar EEN url bij te zitten
die desnoods doorlinkt naar een bepaalde website.... en
kassa... Laat staan wat er gebeurt als je naar
serial-websites of p0rno of andere open-wonden websites
gaat... MSIE kan zomaar 200 webpagina's openen zonder die te
laten zien (voor die crasht).
Een van de ideeen die ik geopperd had op een blackhat
seminar en die prompt een maand later ook daadwerkelijk
uitgevoerd werd.
Dus kom alsjeblieft niet aanzetten met "niemand komt ooit op
'vaute' websites".
Het enige probleem van eerder genoemde exploit is dat hij
een BEKEND stukje virus wil installeren... De exploit ZELF
wordt niet gedetecteerd, het stukje software dat hij
download NA infectie wel.. Het is gewoon verschrikkelijk dom
geschreven en nog dommer uitgevoerd...
Ik hou mijn hart vast wanneer er malware wordt geschreven
door mensen met het IQ van een visstick of meer.
kijker gebruiken ?!
Een van de ideeen die ik geopperd had op een blackhat
seminar en die prompt een maand later ook daadwerkelijk
uitgevoerd werd.
Dus kom alsjeblieft niet aanzetten met "niemand komt ooit op
'vaute' websites".
Wees gerust, je bent niet de eerste die op de gedachte komt dat links of
iframes van advertentie sites van derden kunnen worden gebruikt om
trojans uit te voeren. Dat is in Nederland gebeurt bij startpagina.nl, Ilse en
diverse andere sites van dezelfde eigenaar. Oorzaak was het laden van
advertenties van een buitenlands bedrijf dat daarvoor de benodigde infra,
maar niet de inhoud levert.
Verder ben ik het eens met je betoog. Het is alleen nog veel erger dan je
denkt. Deze lek kan gebruikt worden om zeer infectueuze worm te maken.
Behalve dat het gebruikt kan worden op web sites, is ook Windows zelf
een probleem omdat de bestanden automatisch kunnen worden
ingelezen, een mailtje ontvangen kan al genoeg zijn. Als het bestand al op
schijf staat is het bekijken van die map met de Verkenner mogelijk al
voldoende om de exploit uit te voeren.
Workarounds:
1) regsvr32 /u shimgvw.dll
2) disable.reg
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREClassesSystemFileAssociationsi
mageShellExContextMenuHandlersShellImagePreview]
@=""
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.