image

Microsoft waarschuwt voor Windows ANI zero-day

vrijdag 30 maart 2007, 09:43 door Redactie, 12 reacties

Ook Microsoft waarschuwt Windows gebruikers voor het gisteren ontdekte zero-day lek. Zelfs met een volledig gepatcht systeem is het bezoeken van een kwaadaardige website of openen van kwaadaardige e-mail voldoende om aanvallers de controle over het besturingssysteem te geven. Volgens de softwaregigant gaat het om "gerichte aanvallen", maar gisteren liet beveiliger McAfee nog weten dat er mogelijk verschillende varianten actief zijn die dezelfde exploit misbruiken. Geanimeerde cursors zijn plaatjes die de standaard muisaanwijzer in Windows vervangen.

Op geinfecteerde systemen wordt het bestand wincf.exe geplaatst. Zowel Windows 2000 SP4, Windows XP SP2, Server 2003 en Windows Vista zijn kwetsbaar. In het geval van Vista zorgt de exploit ervoor dat het systeem eindeloos blijft crashen en herstarten.

De geanimeerde cursors worden meestal gedownload als .ani bestanden, maar het blokkeren van het bestandstype is niet voldoende, zo waarschuwt het Internet Storm Center. De exploits die nu actief zijn misbruiken namelijk het lek door de .ani bestanden te hernoemen naar .jpg.

Volgens Microsoft zijn gebruikers van Internet Explorer 7 met Protection Mode beschermd tegen "active exploitation". Dit geldt echter niet voor Outlook. De malware is onder andere afkomstig van de volgende domeinen:

  • 33577 .cn
  • ym52099.512j .com
  • 1.520sb .cn
  • newasp.com .cn
  • koreacms .co.kr
  • i5460 .net
  • 04080 .com
  • h3210 .com
  • Reacties (12)
    30-03-2007, 10:21 door Anoniem
    Alle relevante Windows-versies zijn weer eens kwetsbaar...
    30-03-2007, 10:52 door Jozo
    Surprise, ook het 'veiligste' commerciele OS is kwetsbaar.
    30-03-2007, 11:35 door Anoniem
    Okee, en hoe kan een animated cursor een compleet
    besturingsysteem overnemen? En hoe kan dat met Vista? Ik
    dacht dat UAC zo perfect was dat er een harde security
    boundary zou zijn.... valt me vies tegen van Microsoft, maar
    is niet onverwacht.
    30-03-2007, 12:24 door Anoniem
    * If you are reading email using Windows Mail on Vista
    you are protected as long are not forwarding or replying to
    the attackers email.

    Bizar, een cursor is een cursor maar kennelijk wordt deze
    intern anders verwerkt bij het doorsturen. En UAC reageert
    hier dus niet op!

    * Regardless of if you are reading your mail in plain
    text on Outlook Express you are not protected.

    Als je iets niet toont en/of gebruikt, waarom dan door een
    kwetsbare routine halen??
    zou de sources van MS wel eens willen zien. Lijkt mij leuk
    voor de DailyWTF.com
    30-03-2007, 12:35 door Anoniem
    Deze ziijn ook leuk:

    Op Yahoo answers staat een vraag over Exploit-ANIfile.
    http://ca.answers.yahoo.com/question/index.php?qid=1006041708581
    Deze post is 1 jaar oud!!!

    Hier staat een post van aug. 2006
    http://www.forospyware.com/archive/t-47889.html

    Maar het probleem is gisteren ontdekt ?????
    30-03-2007, 18:52 door Anoniem
    Door Anoniem
    Maar het probleem is gisteren ontdekt ?????

    Er zijn meerdere lekken in ANI bekend. Vorig jaar heeft Microsoft al eens
    een patch uitgebracht.
    30-03-2007, 22:30 door G-Force
    Op de website van het SANS-instituut staat nu een langere
    lijst van domeinen waar het ANI-lek actief verspreid wordt.

    Wie deze wil blokkeren kan dat o.a. doen door de
    onderstaande lijst in de HOST-file te plakken en op te slaan.
    De www-aanduiding in de lijst heb ik moeten weglaten, anders
    krijgt men via deze site een werkzame link. Verwezen wordt daarom
    naar SANS of de website van Webwereld:

    http://www.webwereld.nl/comments/45732/microsoft-waarschuwt-voor-kritiek-lek-in-windows.html#comment_92750

    127.0.0.1 33577 .cn
    127.0.0.1 ym52099.512j .com
    127.0.0.1 1.520sb .cn
    127.0.0.1 newasp.com .cn
    127.0.0.1 koreacms .co.kr
    127.0.0.1 i5460 .net
    127.0.0.1 04080 .com
    127.0.0.1 h3210 .com
    127.0.0.1 220.71.76.189
    127.0.0.1 222.73.220.45
    127.0.0.1 55880.cn
    127.0.0.1 81.177.26.26
    127.0.0.1 85.255.113.4
    127.0.0.1 bc0.cn
    127.0.0.1 client.alexa.com
    127.0.0.1 count12.51yes.com
    127.0.0.1 count3.51yes.com
    127.0.0.1 d.77276.com
    127.0.0.1 fdghewrtewrtyrew.biz
    127.0.0.1 i5460.net
    127.0.0.1 jdnx.movie721.cn
    127.0.0.1 newasp.com.cn
    127.0.0.1 s103.cnzz.com
    127.0.0.1 s113.cnzz.com
    127.0.0.1 ttr.vod3369.cn
    127.0.0.1 uniq-soft.com
    127.0.0.1 wsfgfdgrtyhgfd.net
    127.0.0.1 ym52099.512j.com
    31-03-2007, 00:44 door Anoniem
    Door Peter V.
    Op de website van het SANS-instituut staat nu een langere
    lijst van domeinen waar het ANI-lek actief verspreid wordt.

    Wie deze wil blokkeren kan dat o.a. doen door de
    onderstaande lijst in de HOST-file te plakken en op te slaan.
    De www-aanduiding in de lijst heb ik moeten weglaten, anders
    krijgt men via deze site een werkzame link. Verwezen wordt
    daarom
    naar SANS of de website van Webwereld:

    http://www.webwereld.nl/comments/45732/microsoft-waarschuwt-voor-kritiek-lek-in-windows.html#comment_92750

    127.0.0.1 33577 .cn
    127.0.0.1 ym52099.512j .com
    127.0.0.1 1.520sb .cn
    127.0.0.1 newasp.com .cn
    127.0.0.1 koreacms .co.kr
    127.0.0.1 i5460 .net
    127.0.0.1 04080 .com
    127.0.0.1 h3210 .com
    127.0.0.1 220.71.76.189
    127.0.0.1 222.73.220.45
    127.0.0.1 55880.cn
    127.0.0.1 81.177.26.26
    127.0.0.1 85.255.113.4
    127.0.0.1 bc0.cn
    127.0.0.1 client.alexa.com
    127.0.0.1 count12.51yes.com
    127.0.0.1 count3.51yes.com
    127.0.0.1 d.77276.com
    127.0.0.1 fdghewrtewrtyrew.biz
    127.0.0.1 i5460.net
    127.0.0.1 jdnx.movie721.cn
    127.0.0.1 newasp.com.cn
    127.0.0.1 s103.cnzz.com
    127.0.0.1 s113.cnzz.com
    127.0.0.1 ttr.vod3369.cn
    127.0.0.1 uniq-soft.com
    127.0.0.1 wsfgfdgrtyhgfd.net
    127.0.0.1 ym52099.512j.com


    De namen zien er nogal willekeurig uit.
    Dus na deze lijst komt een nieuwe lijst en dan nog een...
    En dan loopt je systeem vol.
    Dus dit soort oplossingen zijn maar tijdelijk.
    31-03-2007, 16:44 door Anoniem
    Door Anoniem
    Dus dit soort oplossingen zijn maar tijdelijk.

    Je kan ook ff een squid-acl aanmaken natuurlijk:

    acl noanifiles urlpath_regex .ani$
    http_access deny noanifiles

    oid. Om deze draad vooral maar informatief te houden.

    Tis niet de eerste keer dat MS troubles heeft met .ani dus
    dit lijkt me een permanentje ;-)

    Je kan het nog mooier maken met een foute melding eromheen
    (deny_info) of (ook altijd heel zinvol in een cross-platform
    omgeving) alleen alle windows-clients (die je dus sowieso
    een aparte adrespool geeft) specifiek die groep de toegang
    ontzegt.

    En nee: ik ben niet eens een a-typische kantoorautomatiseerder.

    Cheers
    31-03-2007, 17:42 door Bitwiper
    Door Peter V. (laatst gewijzigd op: 30-03-2007 22:35)
    Op de website van het SANS-instituut staat nu een langere lijst van domeinen waar het ANI-lek actief verspreid wordt.

    Wie deze wil blokkeren kan dat o.a. doen door de onderstaande lijst in de HOST-file te plakken en op te slaan.
    knip

    127.0.0.1 220.71.76.189
    127.0.0.1 222.73.220.45
    127.0.0.1 81.177.26.26
    127.0.0.1 85.255.113.4
    Het opnemen van IP-adressen op de plaats van hostnames in je hosts file is zinloos. Een hostsfile moet je zien als een telefoonboek: op basis van een naam zoek je een nummer op. Als je het nummer al weet (lees: als het besturingssysteem het IP-adres al kent) valt er niets op te zoeken.
    Anoniem op zaterdag 31 maart 2007 00:44
    Dus dit soort oplossingen zijn maar tijdelijk.
    Mee eens. Het barst van de publieke webservers die onvoldoende beveiligd zijn. Die kun je niet allemaal in je blacklist opnemen. Whitelisten kon wel eens een beter idee zijn.
    01-04-2007, 01:04 door G-Force
    Nou ik heb ook niet gezegd dat een Blocking list de
    oplossing zou zijn voor alle problemen. Het is een
    (beperkte) mogelijkheid (helaas). En dit komt inderdaad
    doordat de hoeveelheid kwaadaardige sites alleen maar
    aan het toenemen is. Het zijn er nu zoveel, dat het ondoenlijk
    wordt alles in een host bestand op te nemen.

    Wat de IP-adressen betreft heb ik dat pas wat te laat in de
    gaten gekregen. Het viel mij op dat tussen de
    domeinnamen ook wat IP-adressen stonden.

    Die IP-adressen moeten dus uit de host-file worden gehaald en kunnen
    het beste voorlopig in de Firewall worden geblokt.
    01-04-2007, 02:33 door Bitwiper
    Door Peter V. (laatste gewijzigd op op: 01-04-2007 01:19
    Nou ik heb ook niet gezegd dat een Blocking list de oplossing zou zijn voor alle problemen. Het is een (beperkte) mogelijkheid (helaas). En dit komt inderdaad doordat de hoeveelheid kwaadaardige sites alleen maar aan het toenemen is. Het zijn er nu zoveel, dat het ondoenlijk wordt alles in een host bestand op te nemen.
    Met het advies om op basis van hostname (en/of IP adres) sites te blokkeren sta je zeker niet alleen!

    Het probleem is echter dat als een malware verspreider slechts 1 host (ik bedoel 1 IP-adres) 'pwned', hij daar zoveel hostnames voor kan aanvragen als hij wil (kijk maar eens rond op [url=http://www.registeredon.com/]deze site[/url] om een idee te krijgen). Vermenigvuldig dat met het aantal kraakbare sites; zie bijv. [url=http://www.security.nl/article/15726/1/Meeste_Engelse_websites_te_hacken.html]deze page[/url] met als titel 'Meeste Engelse websites te hacken'. Blokkeren kan helpen maar andere maatregelen zijn vaak effectiever.
    Wat de IP-adressen betreft heb ik dat pas wat te laat in de gaten gekregen. Het viel mij op dat tussen de domeinnamen ook wat IP-adressen stonden.
    Prima reactie Peter, ook ik ben veel 'berispt' toen ik begon met schrijven over security (en ik maak nog steeds fouten). Ervoor uitkomen leidt in mijn ervaring eigenlijk altijd tot meer respect. Ga zo door!
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.