Archief - De topics van lang geleden

ANI exploit nieuws

31-03-2007, 12:43 door Bitwiper, 7 reacties
Op de full disclosure maillijst is vandaag een exploit [url=http://lists.grok.org.uk/pipermail/full-disclosure/2007-March/053300.html]gepubliceerd[/url]. Mij is op dit moment niet bekend of deze echt werkt (je kunt nooit uitsluiten dat de huidige 'eigenaars' van de echte exploit onderzoekers bewust op een dwaalspoor zetten, en malloten heb je ook altijd).

Maar het ziet er in zoverre serieus uit dat Alexander Sotirov van [url=http://www.determina.com/security.research/]Determina Security Research[/url], die Microsoft al op 20 december 2006 op deze bug gewezen heeft, in reactie op bovengenoemde full disclusure publicatie nu volledig openheid van zaken geeft op deze [url=http://www.determina.com/security.research/vulnerabilities/ani-header.html]page[/url].

Outlook Express gebruikers zonder virusscanner zijn totaal onbeschermd. Ook indien je emails in text-only mode opent ben je de pineut. Een virusscanner zou je kunnen redden mits deze up-to-date is, maar ik vermoed dat er nogal wat variaties in de exploit mogelijk zijn die detectie kunnen bemoeilijken. N.B. Ondanks hun namen is Outlook Express echt een heel ander programma dan Outlook.

Gezien de nu vrij beschikbare informatie moeten we rekening houden met de mogelijkheid van een snel verspreidend virus (hoewel je het ook een worm zou kunnen noemen).

Voor meer info zie deze sites:
[url=http://isc.sans.org/diary.html?storyid=2534]Vulnerability details (Sans)[/url]
[url=http://isc.sans.org/diary.html?storyid=2539]Welke MS mailclients zijn kwetsbaar (Sans)[/url]
[url=http://isc.sans.org/diary.html?storyid=2540]Detectie met andere middelen (Sans)[/url]
[url=http://asert.arbornetworks.com/2007/03/any-ani-file-could-infect-you/]Technische omschrijving door Jose Nazario[/url]
[url=http://en.wikipedia.org/wiki/RIFF_(File_format)]RIFF file format (Wikipedia)[/url]
[url=http://blogs.technet.com/msrc/archive/2007/03/30/update-on-microsoft-security-advisory-935423.aspx]Microsoft's laatste 'verweer' en plan van aanpak[/url]
Reacties (7)
31-03-2007, 17:46 door G-Force
Ik heb vandaag -31 maart 2007 - op de website van het
SANS-instituut gelezen dat het aantal kwaadaardige websites
met de dag toeneemt. Het is dus oppassen geblazen als men
her en der wil gaan surfen op het internet.

Lees:
http://isc.sans.org/diary.html?storyid=2542&dshield=549e249c9aaa15cc96677d9a4f5c6680

De Infocon is gezet van GROEN op GEEL.
Firefox gebruikers die deze Infocon Monitor in de statusbalk willen installeren en verder op de hoogte gehouden willen worden over de ontwikkelingen hierin kunnen deze extensie hieronder downloaden.

https://addons.mozilla.org/en-US/firefox/addon/1661
31-03-2007, 18:13 door G-Force
Hallo Erik,

Weet jij soms of ook andere mailclients kwetsbaar zijn
(zoals Thunderbird)?
31-03-2007, 18:54 door Bitwiper
Door Peter V. (laatst gewijzigd op: 31-03-2007 18:15)
Weet jij soms of ook andere mailclients kwetsbaar zijn (zoals Thunderbird)?
In [url=http://isc.sans.org/diary.html?storyid=2534]deze Sans page[/url] noemt Maarten Van Horenbeeck al enkele dagen Thunderbird, in de zin dat als je emails als platte tekst opent, je kwetsbaar kunt zijn indien je de html bijlage opent. Het probleem van deze exploit is dat deze plaatsvindt in user32.dll, een core component van Windows. Ik vermoed dat er veel programma's zijn die uiteindelijk van de betreffende winapi routines in user32.dll gebruik maken.

Enkele email tips:
[list]
[*]Zorg voor een up-to-date virusscanner
[*]Gebruik bij voorkeur GEEN Outlook Express, zeker niet als je geen up-to-date viruscanner hebt
[*]Configureer je email programma zo dat emails als platte tekst worden gelezen
[*]Als je email programma een 'preview' mode ondersteunt, schakel deze dan uit (om te voorkomen dat de email 'bovenaan de lijst' meteen wordt geopend als je het programma start)
[*]Open alleen mails van bekende afzenders, d.w.z. namen of aliases van mensen die je kent en waar je eerder mail van ontving. Kijk uit met generieke afzenders als postmaster, systeembeheer, ISP, namen van banken etc.
[*]Als je twijfelt aan bepaalde mails kun je deze ook enkele dagen ongeopend laten; na een paar virusscanner updates is de kans op detectie van eventuele malware veel groter
[*]Gebruik geen MSIE om te surfen - en, omdat ik het risico slecht kan inschatten, voor de zekerheid helemaal niet voor webmail (een uitzondering zou IE7 met Protection Mode enabled kunnen zijn, maar daar heb ik geen ervaring mee)
[/list]
31-03-2007, 19:48 door G-Force
OK bedankt voor je opmerkingen Erik.

Ik heb nog even op de Google gekeken over de Protection Mode
in IE-7

In Windows Vista zal Internet Explorer 7 extra goed
beveiligd zijn met de protected mode. Deze mode maakt
gebruik van de bestaande technologieën in Windows Vista. De
protected mode betekent dat Internet Explorer 7 en zijn
add-ins zullen draaien met lage rechten en geen toegang
zullen hebben tot de kernel en andere belangrijke processen,
zelfs niet wanneer de gebruiker administrator rechten heeft.


Link:
http://209.85.165.104/search?q=cache:NGJyValvgf4J:www.techzine.nl/columns/23/5+IE7+Protection+Mode+%2B+XP&hl=nl&ct=clnk&cd=1&gl=us

IE-7 zou dus - volgens dit bericht - alleen in Windows Vista in protection mode kunnen draaien.
31-03-2007, 22:37 door Redactie
Bedankt voor je post Erik, super weer!
01-04-2007, 02:56 door Bitwiper
Graag gedaan, en bedankt voor het grotendeels overnemen mijn eerste bijdrage in deze [url=http://www.security.nl/article/15790/1/Microsoft_wist_al_sinds_december_van_Windows_ANI_lek.html]nieuws page[/url].

Bij deze wil ik ook Peter V. bedanken voor zijn hulp en voor alle vrije tijd die hij opoffert om anderen te helpen!
02-04-2007, 09:36 door ctrlaltdelete
Patch van Microsoft komt waarschijnlijk morgen...

http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search