Nieuws
image

Microsoft waarschuwing, filmpje en fix voor WMF exploit

donderdag 29 december 2005, 09:42 door Redactie, 14 reacties

Microsoft heeft Windows gebruikers gewaarschuwd voor "een mogelijk lek" in het besturingssysteem dat inmiddels door talloze websites wordt gebruikt. Via de kwetsbaarheid kan een aanvaller controle over het systeem krijgen. De softwaregigant benadrukt wel dat een aanvaller de gebruiker zover moet weten te krijgen dat hij of zij een kwaadaardige website bezoekt.

De exploit wordt inmiddels door meer dan 50 websites gebruikt, waaronder:
m.cpa4 [dot] org
008k [dot] com
mscracks [dot] com
keygen [dot] us
dailyfreepics [dot] us
pornsites-reviews [dot] com
mmxo.megaman-network [dot]
com
600pics [dot] com
Crackz [dot] ws
unionseek [dot] com
www.tfcco
[dot] com
Iframeurl [dot] biz
beehappyy [dot] biz
Buytoolbar [dot] biz
teens7 [dot] com

Een patch van Microsoft mag dan nog ontbreken, er zijn wel verschillende workarounds:

1. Unregister SHIMGVW.DLL, zodat er in Internet Explorer via de "Windows picture and fax viewer" geen afbeeldingen meer bekeken kunnen worden.
2. Verander de associaties voor WMF bestanden.
3. Gebruik IESPYAD, een gratis tool die "block lists" aan de restricted zones van IE toevoegt.

Vanwege de ernst van de situatie en het feit dat veel beheerders met vakantie zijn heeft het Internet Storm Center "Infocon Yellow" afgekondigd. Internetgebruikers die zich afvragen hoe de exploit werkt, kunnen dit filmpje bekijken.

Reacties (14)
29-12-2005, 10:10 door Anoniem
Ik las op securityfocus dat wanneer een WMF bestand dat het lek bevat,
hernoemt wordt naar bijvoorbeeld foohoo.gif het nog steeds geopend
wordt als WMF bestand. Dus in principe kunnen alle soorten afbeeldingen
de exploit meedragen (GIF, JPEG etc...).
29-12-2005, 11:42 door Virtal
WMF-bestanden beginnen met D7 CD C6 9A
Check niet op file-extentie maar vooral op file-headers,
zowel binair, base64 alsook uuencoded.
29-12-2005, 14:45 door Anoniem
fix vind ik niet echt de juiste term, workaround is beter en die komt dus niet
van microsoft zo te zien.
29-12-2005, 15:07 door Virtal
Voor de goede orde, het navolgende illustreert waar de
exploit mee begint:

0000: 01 00 09 00 00 03 52 1F 00 00 06 00 3D 00 00 00
0010: 00 00 11 00 00 00 26 06 0F 00 18 00 FF FF FF FF
0020: FF 00 10 00 00 00 00 00 00 00 00 00 C0 03 85 00
0030: D0 02 00 00 09 00 00 00 26 06 0F 00 08 00 FF FF
0040: FF FF 02 00 00 00 17 00 00 00 26 06 0F 00 23 00
0050: FF FF FF FF 04 00 1B 00 54 4E 50 50 14 00 20 00
0060: B8 00 32 06 00 00 FF FF 4F 00 14 00 00 00 4D 00
0070: 69 00 00 00 0A 00 00 00 26 06 0F 00 0A 00 54 4E
0080: 50 50 00 00 02 00 F4 03 09 00 00 00 26 06 0F 00
0090: 08 00 FF FF FF FF 03 00 00 00 0F 00 00 00 26 06
00A0: 0F 00 14 00 54 4E 50 50 04 00 0C 00 01 00 00 00
00B0: 01 00 00 00 00 00 00 00 05 00 00 00 0B 02 00 00
00C0: 00 00 05 00 00 00 0C 02 D0 02 C0 03 04 00 00 00
00D0: 04 01 0D 00 07 00 00 00 FC 02 00 00 00 00 66 00
00E0: 00 00 04 00 00 00 2D 01 00 00 09 00 00 00 FA 02
00F0: 05 00 00 00 00 00 FF FF FF 00 22 00 04 00 00 00
Daarmee kun je exact deze exploit duiden.

Door op headers te checken kun je de juistheid van
bestanden controleren. Wijkt deze af, dan weet je dat het
geen doorgang kan of mag vinden.

wmf-headers zijn normaal gesproken alsvolgt opgebouwd:

typedef struct _PlaceableMetaHeader
{
DWORD Key; /* Magic number (always 9AC6CDD7h) */
WORD Handle; /* Metafile HANDLE number (always 0) */
SHORT Left; /* Left coordinate in metafile units */
SHORT Top; /* Top coordinate in metafile units */
SHORT Right; /* Right coordinate in metafile units */
SHORT Bottom; /* Bottom coordinate in metafile units */
WORD Inch; /* Number of metafile units per inch */
DWORD Reserved; /* Reserved (always 0) */
WORD Checksum; /* Checksum value for previous 10
WORDs */
} PLACEABLEMETAHEADER;
29-12-2005, 17:57 door Anoniem
Ik had dit lek 2 weken geleden al ontdekt op http://www.serials.ws
Toen heb ik ook windows 2000 opnieuw moeten installen omdat het
systeem niet hellemaal schoon te krijgen was.
30-12-2005, 19:18 door Anoniem
Vorige annoniem de site die jij opgaf: www [dot] serials
[dot] ws is zo'n site waar je vooral niet heen moet gaan
omdat zich daar zo'n wmf bestand bevindt.
Niet echt slim van je om hem te posten!!!
30-12-2005, 21:16 door G-Force
IESPYAD is helemaal niet te downloaden! Je krijgt een pagina te zien
waarvan gezegd wordt dat je die niet mag bekijken.

Hier hebben we dus NIETS aan!
31-12-2005, 12:31 door raboof
Door Virtal
WMF-bestanden beginnen met D7 CD C6 9A
Check niet op file-extentie maar vooral op file-headers,
zowel binair, base64 alsook uuencoded.

Bovendien kan het bijvoorbeeld gegzip'd zijn. Het is een
behoorlijke 'can of worms'.

Het echte probleem is denk ik onder andere dat op
verschillende manieren wordt gekeken wat te doen met een
bestand (zeg mime-type, bestandsnaam en magic numbers). Als
browsers bijvoorbeeld eens alleen rekening zouden houden met
het mime-type, en ook echt afdwongen dat het plaatje door de
aangeroepen code wordt opgevat als data van dat type, dat
zou al enorm helpen...
31-12-2005, 14:07 door Bitwiper
Door Virtal op donderdag 29 december 2005 11:42
> WMF-bestanden beginnen met D7 CD C6 9A

Die definitie is onjuist, zoals Virtal zelf laat zien in
zijn volgende bijdrage; de exploits die nu in omloop
zijn, beginnen bij mijn weten allemaal met 01 00 09 00.

Metafiles die met D7 CD C6 9A beginnen zijn zogenaamde
placeable metafiles. Dat zijn gewone metafiles waar
een speciale header (van 22 bytes) voorgeplakt is, die o.a.
aangeeft hoe het "plaatje" geschaald moet worden. Ik weet
niet of de exploit ook werkt als er zo'n placeable header
voor zit.

Wat ondertussen ook bekend is, is dat de exploits op de een
of andere manier gebruik maken van "SetAbortProc" (scary
verhaal, maar te lang verhaal om hier uit te leggen; tipje
van de sluier: de uiteindelijke kwetsbaarheid zit in
GDI32.DLL). Punt is dat daarmee verderop in elke exploit de
bytes 26 06 09 00 voorbij komen. Dat is, als ik goed
begrepen heb, het belangrijkste aanknopingspunt voor
geactualiseerde virusscanners en SNORT rules.

Voorbeeld: zie onderaan wmf_head in
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php

E.e.a. is niet bedoeld om Virtal te bekritiseren (ik wist
e.e.a. een paar dagen geleden ook nog niet) maar om te
voorkomen dat mensen vanaf nu op het verkeerde been worden
gezet.

Erik van Straten
31-12-2005, 16:12 door Anoniem
Hallo .
Voor de mensen die die site's tog bezoeken moeten eerst een hersel punt
maken.
En hoe moet dan ?
Nou het moet zo !(P.S deze is voor de windows XP)
1 Druk op start.
2 Dan zie je configuratiesherm druk daar op
3 Druk dan op prestaties en onderhoud
4 Dan moet je links kijken bij 'Zie ook'.
5 Druk dan op systeem herstel
6 dan kom je bij het programa druk dan op een systeemherstel punt
maken
Zo nu kun je dan de site bezoeken en als die dingen op je computer
komen moet je stap 1/5 doen maar als je bij het programa bent moet je
'Een eerdere status van deze computer herstelen'Aan vinken.
En voila alles is weg !
ik ben iemand van 13 en snap het wel dus je zou het ook moeten snapen
heá :P
02-01-2006, 14:11 door Anoniem
Ik heb vandaag deze email ontvangen en heb heb sterke
bvermoeden dat men mij hiermee wil verleiden naar een
website die het wmf lek misbruikt.
===
From: Mike [mailto:bikermikesworld@yahoo.com]
Sent: Monday, January 02, 2006 12:10 PM
To: (weggelaten ivm privacy)
Subject: Mailform (weggelaten ivm privacy).erolog.nl: Hete
Barbie Griffin plaatjes

Beste beheerder van deze log,

Ik heb een url gevonden
van een echt lekkere babe (Barbie Griffin)
daarin staan zo'n 5 gallerijen met foto's van haar,
met een totaal van 75 foto's.
Misschien kun je hem gebruiken voor je log('s)

http://tienersex.pornwebring.net/barbie_griffin

Succes en groeten,

Mike.
03-01-2006, 00:30 door Anoniem
Door Anoniem
Ik had dit lek 2 weken geleden al ontdekt op http://www.serials.ws
Toen heb ik ook windows 2000 opnieuw moeten installen omdat het
systeem niet hellemaal schoon te krijgen was.

NIET aanklikken de link http://www.serials.ws !!!!!!!!
04-08-2006, 18:06 door Anoniem
door mondo
ik heb er niet zo heel veel verstand van maar ken iemand me
vertellen hoe ik de microsoft waarschuwing ken verwijderen!
b.v.b bedankt
04-08-2006, 19:27 door Anoniem
Prachtig toch,een joch van 13 die even laat weten
dat hij het gewoon snapt.
Kom op knul, laat meer van je horen!!!
En hier mee laat hij gelijk weten dat Pubers wel met
veiligheid bezig zijn!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search