image

Waarschuwing: nieuw Windows JPG-lek actief misbruikt

vrijdag 11 april 2008, 11:33 door Redactie, 12 reacties

Het beveiligingslek in het Windows (GDI) component dat Microsoft afgelopen dinsdag dichtte wordt op dit moment actief misbruikt door hackers om systemen te infecteren. Eind 2005 werd een soortgelijke kwetsbaarheid ontdekt, die toen op een gigantische schaal werd ingezet. Door het openen van een kwaadaardige EMF of WMF afbeelding krijgt een aanvaller volledige controle over het systeem. Doordat de afbeeldingen in websites zijn te embedden, volstaat het openen van de verkeerde pagina om geïnfecteerd te raken.

Symantec ontdekte de exploit die via het bestand top.jpg wordt aangeboden. Op kwetsbare systemen laadt de exploit het bestand word.gif, dat in werkelijkheid een uitvoerbaar bestand is dat weer een Trojaans paard downloadt. De exploit zou volgens de beveiliger nog niet helemaal naar behoren werken. Dit zou kunnen betekenen dat de exploits gelekt zijn of nog verder ontwikkeld worden. De laatste optie is dat het wel om een werkende exploit gaat, maar waarvan nog niet bekend is op welk platform die werkt. Het Trojaanse paard dat de exploit probeert te downloaden is inmiddels wel achterhaald.

De beveiliger waarschuwt dat het beveiligingslek een zeer ernstig beveiligingsrisico vormt en gebruikers wordt dringend aangeraden de Windows patch te installeren. Zowel Windows 2000, XP, Vista, Server 2003 en 2008 zijn kwetsbaar. Systeembeheerders wordt geadviseerd om de volgende domeinen / IP-adressen te blokkeren: 211.239.126.10 (igloofamily.com) 59.124.92.168 (amrc.com.tw) en ad.goog1e.googlepages.com.

Reacties (12)
11-04-2008, 12:27 door SirDice
Door het openen van een kwaadaardige EMF of WMF afbeelding krijgt een aanvaller volledige controle over het systeem.
Met de rechten van de ingelogde gebruiker..

An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Overigens ben ik het niet eens met de classificatie dat het om een remote code execution zou gaan. Je moet namelijk eerst een bestand downloaden (op welke manier dan ook) en vervolgens, als het bestand lokaal staat, bekijken. Ergo, een local exploit.

Bij een "echte" remote code execution denk ik eerder aan exploits zoals diegene die door blaster of slammer misbruikt werden.
11-04-2008, 12:36 door Anoniem
Door SirDice
Met de rechten van de ingelogde gebruiker...
'Administrator' dus. Dat zal afgerond 100% van de Windows
gebruikers zijn... (pre Vista, that is)
11-04-2008, 13:14 door Anoniem
De link van waar de patch zou staan is niet duidelijk genoeg. Ik kan niet
vinden wat ik zou moeten downloaden en installeren. Is er iemand die een
goeie link heeft?
11-04-2008, 13:33 door SirDice
Door meinonA
Door SirDice
Met de rechten van de ingelogde gebruiker...
'Administrator' dus. Dat zal afgerond 100% van de Windows
gebruikers zijn... (pre Vista, that is)
Voor thuisgebruikers, waarschijnlijk. Bij bedrijven niet..
11-04-2008, 13:39 door Anoniem
Door SirDice
Door meinonA
Door SirDice
Met de rechten van de ingelogde gebruiker...
'Administrator' dus. Dat zal afgerond 100% van de Windows
gebruikers zijn... (pre Vista, that is)
Voor thuisgebruikers, waarschijnlijk. Bij bedrijven niet..

Helaas....ook bij bedrijven kom je dat nog steeds tegen...
11-04-2008, 13:39 door Anoniem
Als ik me niet vergis is dit lek ook te misbruiken via IE, en is de
classificatie 'remote' wel terecht.
11-04-2008, 13:50 door SirDice
Als ik me niet vergis is dit lek ook te misbruiken via IE, en is de classificatie 'remote' wel terecht.
Nee, aangezien IE toch eerst het plaatje moet downloaden om het vervolgens pas te kunnen laten zien. Remote is wanneer ik iets op jou afvuur en daarmee je machine kraak zonder dat jij daar iets voor hoeft te doen (behalve online zijn).

In het geval van IE moet ik eerst iemand zover krijgen om m'n website te bekijken.. IE download het plaatje en laat dat zien (waardoor de exploit actief wordt). Of ik stuur een e-mail die jij eerst moet downloaden om te kunnen zien.. Hoe je het wendt of keert je zult eerst het plaatje op een machine moeten krijgen om vervolgens dat plaatje te presenteren (waardoor de exploit geactiveerd wordt).
11-04-2008, 14:32 door Anoniem
Er klopt iets niet aan dit bericht;

> host 211.239.126.10:
10.126.239.211.in-addr.arpa domain name pointer
nt4.hostwide.net.
> host 59.124.92.168:
168.92.124.59.in-addr.arpa domain name pointer
59-124-92-168.HINET-IP.hinet.net.
> date: Fri Apr 11 14:29:53 CEST 2008

Ook; host ad.goog1e.googlepages.com:
ad.goog1e.googlepages.com is an alias for
googlepages.l.google.com.
googlepages.l.google.com has address 74.125.47.118

!?!
11-04-2008, 14:53 door Anoniem
sirDice,

je slaat de plank volledig mis.
11-04-2008, 17:10 door Anoniem
Door SirDice
Als ik me niet vergis is dit lek ook te misbruiken via IE, en is de
classificatie 'remote' wel terecht.
Nee, aangezien IE toch eerst het plaatje moet downloaden om het vervolgens
pas te kunnen laten zien. Remote is wanneer ik iets op jou afvuur en
daarmee je machine kraak zonder dat jij daar iets voor hoeft te doen (behalve
online zijn).

In het geval van IE moet ik eerst iemand zover krijgen om m'n website te
bekijken.. IE download het plaatje en laat dat zien (waardoor de exploit actief
wordt). Of ik stuur een e-mail die jij eerst moet downloaden om te kunnen
zien.. Hoe je het wendt of keert je zult eerst het plaatje op een machine
moeten krijgen om vervolgens dat plaatje te presenteren (waardoor de
exploit geactiveerd wordt).

Tegenwoordig is de classificatie van 'remote' wanneer de aanvaller zich niet
op het lokale systeem bevind. Hoewel dit onder de 'remote with user
interaction' valt, maar remote blijft het.
12-04-2008, 13:39 door Rene V
Door meinonA
Door SirDice
Met de rechten van de ingelogde gebruiker...
'Administrator' dus. Dat zal afgerond 100% van de Windows
gebruikers zijn... (pre Vista, that is)

Dacht het toch niet. Ik ben niet ingelogd als Admin.
16-04-2008, 13:07 door Spion
deze lek is nog steets nit gedicht aangezien ik er nog gebruik van kan
maken :P

en idd je kan commando's uitvoeren op je slachtoffers pc's.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.