Lachen... Op de corporate PC probeerde ik de registratie van
shitmgvw.dll ongedaan te maken. Geen foutmelding of niets,
alles goed maar de registratie bleef overeind, ook rebooten
maakte niets uit. Schijnbaar moet je toch ook effe kijken
naar de policies.

Nadat ik zelf eerder deze week met een oudere freeware
versie van IDAPro GDI32.DLL had gedisassembleerd, en
probeerde te snappen hoe de WMF "SetAbortProc" exploit
precies werkt (maar daar nog niet uit ben), heeft notabene
de auteur van IDAPro, Ilfak Guilfanov, een patch gemaakt!
Voor de geinteresseerden uitleg hoe e.e.a. werkt.

"Escape" functies in de Windows GDI (Graphics Device
Interface) worden vooral voor printen gebruikt maar komen
ook veel voor in metafiles om een soort "comments" mee op te
slaan. De Escape functie kent meerdere subfuncties,
waaronder "SetAbortProc" waarmee je een routine aanmeldt die
wordt aangeroepen bij printer storingen. Daarbij wordt
code in de metafile opgenomen. Die aanpak stamt uit
de Windows 3.x tijd, en wordt, voor zover ik weet, onder
Win32 niet meer gebruikt. Microsoft's GDI32.dll bevat onder
andere de code die uiteindelijk metafiles interprteert.

Ik weet (nog) niet zeker of Microsoft het uitvoeren van
code in metafiles heeft uitgeschakeld in Win32, en dat
dit hier omzeild wordt door een andere bug, of dat
Microsoft hier een megablunder heeft begaan. In elk
geval is dit het probleem waar de WMF exploits gebruik van
maken.

Ilfak's patch werkt als volgt. Na installatie in
c:windowssystem32 wordt zijn wmfhotfix.dll aangemeld in de
registry onder AppInit_DLLs (een normaal gesproken wel
bestaande maar lege string value); zie
http://support.microsoft.com/default.aspx?scid=kb;en-us;197571
voor meer info. N.B. de kans bestaat dat antivirus of
antispyware deze patch na reboot als een gevaar bestempelt
(Google naar AppInit_DLLs). RootkitExplorer (SysInternals)
en Rootkit Analyzer (Resplendence) vermelden hem echter niet.

Na reboot zal elk proces (programma) dat Microsoft's
User32.dll inlaadt (en dat doen in de praktijk alle
processen), tevens wmfhotfix.dll inladen en initialiseren
(een routine er in aanroepen). Die wmfhotfix.dll routine
laadt vervolgens zelf (d.w.z. voordat door jou
gestartte programma's dit doen) GDI32.dll in het geheugen.

Daarna maakt wmfhotfix.dll een kleine wijziging in de (nu in
het geheugen gelaadde) code van GDI32.dll: aanroepen naar de
Escape functie worden omgeleid naar een "thunk" routine in
wmfhotfix.dll. Die routine checkt of het Escape subfunctie 9
betreft (SetAbortProc); zo ja wordt een foutcode
geretourneerd (en exploits vermeden), zo nee wordt de
oorspronkelijke GDI Escape routine aangeroepen. Door deze
aanpak wordt het bestand GDI32.DLL op je schijf zelf
niet gewijzigd. Als jouw programma daarna GDI32 functies
nodig heeft zal deze de dll niet opnieuw van schijf laden,
omdat de code reeds in "zijn" geheugen aanwezig is.

Installeren en de-installeren van de gisteren gepubliceerde
versie op een volledig gepatchte Engelstalige XP-SP2 werkte
bij mij probleemloos. Ik kon er gelukkig niets in ontdekken
dat wees op taal-afhankelijkheden (NL XP zal ook werken), en
ik verwacht ook geen problemen met XP SP1. Of deze patch ook
echt werkt tegen de actuele WMF exploits heb ik nog
niet getest, maar ik vermoed van wel.

Op http://isc.sans.org/diary.php?date=2006-01-01
kun je op dit moment een door Tom Liston geteste versie 1.1
downloaden (met tevens Win2000 support). Op
http://www.hexblog.com/2005/12/wmf_vuln.html
stelt Ilfak Guilfanov een versie 1.2 beschikbaar die
voorkomt dat je de patch per ongeluk 2x installeert (ik heb
alleen de eerste versie getest).

Erik van Straten

Erik Bedankt voor de zeer uitgebeide uitleg. Het is weer
stukken duidelijker voor mij.

Die programmeus bij MS zijn waarschijnlijk allemaal op
skivakantie ;)

microsoft moet iets zekerder zijn over het effect van hun patch, als
die dingen stuk maakt dan is het commentaar alleen maar erger.

Dankzij de SurfRight feature van Hitman Pro heb ik geen last van het WMF-
lek. SurfRight geeft bepaalde internetapplicaties minder rechten waardoor
er geen kwaadwillige software geinstalleerd kan worden.

thx voor de uitleg. dit zijn de redenen om security.nl te lezen :)

Een (externe eenvoudig) firewall biedt dus ook geen bescherming tegen dit
virus?

Een vriend van mij (tegen de 80) belde me twee/drie weken geleden.
Zijn computer werd voor relayed spamming gebruikt. De virusscanner was
uitgeschakeld (McAfee) en de laatste update die er op zijn machine stond
was van jaren geleden (PC is gekocht, nieuw, Mediamarkt in november
2005).
tijdens het opstarten komt er een rare melding ver iets met USB, press F1
to continue, ook dat was nieuw.
Tijdens het draaien van HitManPro rebootte het systeem spontaan.

Uiteindelijk in veilige modus van alles geschoond (en hij vond nogal wat
shit), McAfee teruggeplaatst en alles leek weer te werken.

Echter, van mailtjes (Outlook Express) die verstuurd werden werd de
afzender vernaggeld: in plaats van de opgegeven naam kwamen er +++
tevoorschijn.
Mij conclusie was dat het systeem nog steeds besmet is en het laatste
redmiddel het formatteren van de schijven is.

Omdat ik niet zeker weet dat mijn op leeftijd zijnde compaan alle CD's heeft
zie ik daar nogal tegenop.
Zijn er ergens tools te vinden die (naast McAfee en HitmanPro) mij kunnen
helpen in het schoonvegen?

Alvast bedankt.

(haalditwegsecurity@ziegel.dds.nl)

Ik heb mijn Win2K goed onder controle en heb tot de
officiële patch alleen de associatie van de WMF-extensie
gewijzigd. Verder gebruik ik den vuurvos.

(EMF kan ik wel openen met ACDSee maar is niet geregistreerd
dus die applicatiekoppeling wordt sowieso via een
dialoogvenster gevraagd)

Volgens virulist.com
(http://www.viruslist.com/en/weblog?weblogid=176771047):
Perhaps the most worrying thing about this whole issue is
that NTFS rights have no effect on whether or not the
vulnerability will be exploited.

Some people run under a limited user account (which among
other things restricts NTFS rights). This may make people
feel that they are protected from malware. In this case,
nothing could be much further from the truth.

The attackers seem very well aware of this fact and have
already released malware which will be downloaded and
executed in a directory where a limited user has execution right

hier zou ik niet al te zeker van zijn...

maar wat te doen als je eenmaal geïnfecteerd bent?

Ik kan naar geen enkele anti virus website, die zijn zgn. allemaal 'off-line'
:(

Mooie boel als het waar is dat dit al van 1990 bekend is en er nog niets
aan gedaan zou zijn. Jawel hoor zal ik dan maar toch overstappen op
Firefox.

Gwoon voorzichtiger wezen binnen enkele weken komt microsoft met een
pleister that.s all

Inderdaad, klinkt leuk dat er staat dat er 'geen kwaadwillende
software kan worden geinstalleerd', maar waarschijnlijk houd dit
in dat gewone code, (no pun intended) verborgen in
plaatjes (bot gezegd) gewoon zou kunnen worden
uitgevoerd.

Kort gezegd, kwaadwillende software duidelijk verpakt in
packages of exe files wordt waarschijnlijk afgevangen door
surfright, maar het feit dat GDI32.DLL een afbeelding probeert te
tonen zal niet als bedreigend worden gezien door surfright, en is
dus is heel wat anders. Anders werkt surfright goed voor heeeel
veel lekken....

Probeer een een scan met Hijackthis.
Dit geeft alle programma's weer die draaien (dus niet alles verwijderen).
En dan kan je kijken wat er niet thuis hoort op de pc.

Hitman Pro installeert sinds vanavond bij haar gebruikers automatisch de
hotfix tegen het WMF-lek.
Overgens, ik heb de SurfRight beveiliging getest en die beschermd de
gebruiker ook prima tegen dit lek - mits de gebruiker wordt aangevallen in
de door SurfRight ondersteunde programma's, zoals Internet Explorer,
Messenger, Firefox en Outlook).

Avast! haalt heel veel weg met dit tooltje:
http://files.avast.com/files/eng/aswclnr.exe
Succes!

Jullie moeten van al die MS-perikelen en -problemen toch al
onder heel wat wat pleisters zitten. Bevalt dat? Denk eens
aan Linux als een meer betrouwbaar alternatief OS.

GT

Dit is de officiele MS reactie
http://www.microsoft.com/technet/security/advisory/912840.mspx

Ondanks alle reacties wellicht ook de moeite waard. op 10 januari komt er
dus een reactie terug..

GT,

ik draai al heel lang mee in het Linux wereldje, en je doet
alsof er geen security problemen mee bestaan? Dat klopt niet
hoor, er verschijnen ook daarvoor security patches aan de
lopende band.

dat is in dit geval niet voldoende volgens mij, als je echt
van alle problemen hiermee af wilt zijn zul naar een niet
windows operating system over moeten stappen. maar of je dat
nou wilt? ik zie het al een aantal keer voorbij komen hier,
maar het is allemaal zo simpel niet.

totdat MS zelf die patch uitbrengd, ben je dan veilig met
firefox 1.5???

linux is alleen een alternatief als operating systeem als er ook
applicaties voor zijn die erop draaien ... en waar zijn die ?

probeer maar eens iets simpel te vinden zoals een video editor
genre Adobe Premiere, of Pinnacle Studio DV ...
Of een programma zoals Photoshop elements of Paintshop Pro
en Photo album ... ( De GIMP komt nog geneens in de buurt )

In plaats van tijd te spenderen aan het eeuwige gevecht over
vi<>emacs en CDE<>kde en Gnome en het zoveelste
kleurenschema en grafische tierlantijntjes begint het tijd te
worden dat er APPLICATIES komen.

En als je per se U-nix wilt lopen : draai Solaris-86. Da's ook
gratis.

euh, die
link werkt niet bij mij :-?

Volgens mij komt er ook iedere maand een nieuwe distributie uit. Daarbij
is het nog steeds niet (na ál die jaren) een volwaardig alternatief.

-R.

@ Anonieme Linux profeet:

"....Linux als een meer betrouwbaar alternatief OS.."

Mooie sprookjes: wanneer 97% van de desktops op Linux zou draaien, met
daarbij 90% van de Users die liever met administrator rechten werken, dan
heb je minstens een even groot probleem.

Ik krijg tegenwoordig gemiddeld een 10-tal meldingen per dag binnen van
Secunia betreffende security bugs in de Linux omgeving. Gisteren kreeg ik
oa. dit binnen:

TITLE:
Linux Kernel Multiple Vulnerabilities

SECUNIA ADVISORY ID:
SA18216

VERIFY ADVISORY:
http://secunia.com/advisories/18216/

Haha, leuke reactie van Anoniem. En ik moet zeggen; mijn
linuxsysteem werkt bijna net zo goed als dat van MS, maar MS
wint uiteindelijk op veel fronten.
En mijn Suse 9.3systeem heeft echt niet zo veel minder
pleisters dan mijn MS-XPsp2. Linux blijft veel leuker dan MS
maar die stabiliteit ervan is met de nieuwste (stabiele)
kernel en een moderne veeleisende PC een fabel !

Bij problemen met virussen, spyware etc. kun je op
http://www.hijackhelper.com/forum/index.php?showforum=2
terecht voor hulp.

is het zo, dat windows 98 en windows 98SE van deze lek geen
last hebben ?

Microsoft heeft de patches zo gemaakt, dat ze niet in 98 en
98SE kunnen worden ingbouwd.

Of is het zo dat Microsoft deze besturingsystemen niet meer
ondersteunen
wil, en daarom de gebruikers ervan aan hun lot overlaat...

hoe werkt de onofficiele patch bij windows 98 ?

Totdat Linux marktleidend wordt; dan zullen de zieke geesten en de
misdadigers ook dit besturingssysteem tot doel kiezen. Leveranciers van
besturingssystemen zullen hun verantwoordelijkheid moeten nemen en
voortdurend hun systemen op lekken moeten checken en oplossingen
aanreiken.

bedank voor de tip

:-( Linux heeft net zo goed exploits en virussen,helaas
heeft "niemand" linux dus worden ze niet
gevonden/uitgewerkt.Leuk ms flamen maar als het zo slecht
zou zijn als linuxklussers ons willen doen geloven zouden we
allemaal
3es drinken en coca cola laten staan.

ps Ik gebruik ubuntu,behalve voor 75% van mijn programma's
die zich er niet door laten ondersteunen.