Archief - De topics van lang geleden

Warning! WMF-exploit

01-01-2006, 15:16 door G-Force, 10 reacties
Het Internet Storm Centrum waarschuwt voor een nieuwe aanval via de
bekende WMF-exploit. Hieronder de tekst van het ISC:
==========================================
According to F-Secure's blog today, the 2nd generation WMF exploit has
been spammed and "When the HappyNewYear.jpg hits the hard drive and
is accessed (file opened, folder viewed, file indexed by Google Desktop),
it executes and downloads a Bifrose backdoor (detected by us as
Backdoor.Win32.Bifrose.kt) from www[dot]ritztours.com.".

Trend Micro is calling it TROJ_NASCENE.H

===========================================

Blokkeer via de veiligheidszones van IE het betreffende internetadres [color=red]www[punt]ritztours.com[/color]. Deze URL is zodanig veranderd dat er geen doorlinking naar deze website kan plaatsvinden. Bezoek deze website dus[color=red] NIET[/color]. Blokkeer dit adres ook via de Firewall opdat er geen contact kan worden gemaakt. Hierdoor wordt het downloaden van de Trojan voorkomen.

De infocon van het ISC is nu naar code GEEL verhoogd.

Nieuwe ontwikkelingen over dit WMF-exploit worden via dit Forum gemeld.

Links: http://www.f-secure.com
Reacties (10)
01-01-2006, 15:26 door G-Force
01-01-2006, 20:57 door G-Force
Er is een nieuwe blocklist door het ISC samengesteld. Er is namelijk
gebleken dat er servers - die de WMF-exploit misbruiken - vaak via de
onderstaande IP-adressen opereren. Aangeraden wordt om het bereik
van deze IP-adressen te blokkeren via de Firewall.

Het betreffen de volgende IP-adressen:
==============================
InterCage Inc.: 69.50.160.0/19 (69.50.160.0 - 69.50.191.255)
Inhoster: 85.255.112.0/20 (85.255.112.0 - 85.255.127.255)
01-01-2006, 21:05 door G-Force
Het laatste nieuws met artikelen van het ISC vindt men hier:

http://isc.sans.org/diary.php?storyid=993

Veel info ook bij de Waarschuwingsdienst:

http://www.waarschuwingsdienst.nl/render.html?it=1314
02-01-2006, 13:51 door Anoniem
Door Peter.V
Het laatste nieuws met artikelen van het ISC vindt men hier:

http://isc.sans.org/diary.php?storyid=993

Veel info ook bij de Waarschuwingsdienst:

http://www.waarschuwingsdienst.nl/render.html?it=1314

Goede bijdrage, waarvoor dank.
02-01-2006, 19:24 door G-Force
Vandaag heeft Norton Internet Security 2005 een WMF-aanval op mijn systeem gedetecteerd afkomstig van IP-adres: 72.41.101.136. De Hardware Firewall liet deze aanval gewoon door. Raadzaam is het om de configuratie van Hardwarematige Firewalls te controleren. Uiteindelijk werd de aanval vastgesteld door de software Firewall van Symantec, die pas een extra aanvalshandtekening via LifeUpdate heeft vrijgegeven.

De aanval treedt op indien men de wmf vulnerability checker tracht te downloaden.

Het betreft hier de website van Hexblog(punt)com. Het is vooralsnog niet
duidelijk of het hier legitiem verkeer of een echte aanval betreft. Daarom is
het misschien wel zo verstandig om - tot nader order - dit IP-adres te blokkeren via de Firewall.

Pas als er een officiële patch van Microsoft volgt kan men de blokkeringslijsten opheffen. Tot die tijd blijven ze op mijn systeem gewoon van kracht.
02-01-2006, 21:56 door Anoniem
Peter: een hardware firewall laat het natuurlijk door. Een
firewall weet alleen af van zaken zoals dst/src ip, dst/src
port ip(ranges) ect.

Verder is hexblog.com een legit site, ida pro maker heeft
daar zijn onofficiele patch neer gezet, welke perfect werkt.
Als jij deze installeert, dan kan je woon alle wmf ellende
openen, zonder dat er iets gebeurt.

Blokkeringslijsten hebben geen zin.
Elke kiddie/cyber crimineel is al lang met deze sploit aan
de slag, dus een paar ip ranges blokkeren is
schijnveiligheid; iedereen kan dit vanaf elk werkend ip.

De groeten, iemand die geen norton internet security 2000
zoveel nodig heeft.
02-01-2006, 22:52 door Bitwiper
Peter.V op maandag 02 januari 2006 19:24:
> De aanval treedt op indien men de wmf vulnerability
> checker tracht te downloaden.

Een "aanval" vind ik in dit verband wel een heel zwaar
woord. Je bent toch zelf iets aan het downloaden?

De wmf vulnerability tester bevat de beruchte exploit code
en probeert deze op geen enkele manier te verhullen. Het
bestand begint met de bytes 01 00 09 00 en verderop komen de
(hexadecimale) bytes 26 06 09 00 voorbij, precies zoals ik
in mijn bijdrage op deze pagina omschreef:
http://www.security.nl/article/12594/

Het verschil met de in omloop zijnde malware is dat het
bestand "wmf_checker_hexblog.exe" een messagebox toont
(alleen als je systeem kwetsbaar is natuurlijk) en niks
naars doet met je systeem, in elk geval niet de versie die
ik zojuist gedownload heb. De grootte daarvan is 3584 bytes,
md5=df140e98f689f4476509722284118268 en
sha1=823b68de5787ed633c5ba3f941df01a418cd92a7. Je kunt deze
(als de verbinding naar de site niet helemaal wegvalt,
mogelijk is ie al /.ed [*]) hier downloaden:
http://www.hexblog.com/2006/01/wmf_vulnerability_checker.html.
Ik verwacht dat deze tester binnenkort ook wel via
http://isc.sans.org beschikbaar gesteld zal worden.

Ik heb bovenstaande exe file gedisassembleerd en me ervan
verzekerd dat de inhoud met de (eveneens te downloaden)
source overeenkomt, en hem daarna op m'n systemen gedraaid.

Overigens geeft deze versie geen melding op m'n PC met
Win98SE, terwijl ik vermoed dat deze toch kwetsbaar
is. Mogelijk gebruikt Ilfak Guilfanov functionaliteit in z'n
"exploit" die niet beschikbaar is onder Win98. Ik hoop de
tijd te vinden om dit verder uit te zoeken.

Ten slotte ben ik het met Anoniem van 21:56 eens: verreweg
de meeste (met name hardwarematige) firewalls zullen deze
exploit niet blokkeren. Firewalls werken op het niveau van
headers van netwerkpakketten, vergelijkbaar met een
postsorteerder die de informatie op enveloppen leest.
Sommige software "firewalls" kunnen ook content van
pakketten inspecteren, maar feitelijk zijn het dan geen
firewalls meer maar eerder malware scanners of IPS'en. De
effectiviteit daarvan is (net als bij virusscanners) nogal
variabel, en er is een kans op false positives (je wilt toch
niet dat jouw firewall de verbinding verbreekt, bijv.
tijdens het ophalen van jouw email, omdat er 26 06 09 00 in
voorkomt?). En zo gauw data gecomprimeerd en/of versleuteld
wordt zijn deze systemen te traag of gewoon machteloos.

Erik van Straten

[*]http://en.wikipedia.org/wiki/Slashdotted
02-01-2006, 23:20 door Anoniem
De wmf vulnerability checker controleert je computer door te proberen het
wmf lek te gebruiken zonder kwaadaardige code uit te voeren. Daarmee
stelt het je niet alleen in staat om te controleren of je computer kwetsbaar
is, maar ook om te controleren of je virus scanner het lek al detecteert.

Diverse security experts hebben de fix van hexblog.com gecontroleerd en
raden aan die te gebruiken, zie bij voorbeeld:
http://isc.sans.org/diary.php?storyid=996
en
http://www.grc.com/sn/notes-020.htm
03-01-2006, 09:03 door Bitwiper
Aanvulling op mijn bovenstaande bijdrage: sinds gisteravond
staan op
http://isc.sans.org/diary.php?storyid=1006
verwijzingen naar twee verschillende test-wmf bestanden die
ik even gauw bekeken heb.

Beide beginnen met de bytes 01 00 09 00, maar in de eerste
wordt de uitvoerbare code nu vooraf gegaan door 26 00 09 00,
en in de tweede door 26 04 09 00. Die tweede byte (die, in
words, het aantal functie parameters zou moeten aangeven dat
volgt) wordt kennelijk door Windows genegeerd.

In vergelijking met Ilfak's testcode vind ik deze beide
tests veel enger; er is geen sourcecode beschikbaar, en de
executable code in beide exploits is "obfuscated"
(encoded/versleuteld).

Deze encoding en de kennelijk mogelijke variatie in de
bovenstaande byte maakt detectie door virusscanners erg lastig.

Met dank aan Ilfak Guilfanov voor zijn patch en
testprogramma, maar waar blijft Microsoft?

Erik van Straten
03-01-2006, 17:43 door G-Force
Ik ben het volledig eens met wat Erik van Straten en anderen hebben
doorgegeven over Hexblog. Ik wil wel duidelijk stellen dat ook legitiem
verkeer als een "aanval" door een Firewall kan worden gezien (dat had ik
ook bekend gemaakt). Ik meen daarom ook dat Hexblog niets verkeerds
doet. Wat me overigens wel enorm dwars zit, is de bijna zondige houding
van Microsoft die nog steeds geen patch heeft uitgebracht en
honderdduizenden computers met een lek laat zitten.

Verantwoordelijkheidsbesef is iets wat bij mij nogal sterk aanwezig is en
daarom wordt er gewaarschuwd : ook als later zou blijken dat de
waarschuwing ingetrokken moet worden. Vergelijk me maar met de Brandweer : heel vaak komen ze voor valse brandmeldigen maar dan wordt er elke keer bijgezegd "Dat is ook ons werk".

En daar sluit ik me volledig bij aan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.