Enkele aanvullingen:

Exchange 2007 en 2010 - alleen bij OWA gebruik

Volgens de Microsoft advisory en aanvullende info is een Exchange 2007 of 2010 server alleen kwetsbaar als er OWA (Outlook Web Access) gebruikers zijn. Voor het previewen van bijlagen wordt dan, op de server, van de transcoding service gebruik gemaakt, die op zijn beurt van de "Oracle Outside In" libraries (met kwetsbaarheid) gebruik maakt.

Dit betekent dat spammers malware mails kunnen sturen waarbij de malware op de server wordt uitgevoerd zodra een OWA gebruiker de bijlage bij die mail previewt. Een virusscanner op de client doet hier zo goed als zeker niets tegen. Of een virusscanner op de server soelaas biedt is ook nog maar de vraag: als de malware volledig in-memory word verwerkt (dus niet als bestand op de schijf belandt) zijn de meeste virusscanners niet effectief, en er zijn vele manieren om de malware in de email te "obfusceren" totdat deze door bedoelde services wordt geconverteerd naar iets leesbaars voor OWA gebruikers.

Uit http://technet.microsoft.com/en-us/security/advisory/2737111: Ik raad aan de door Microsoft voorgestelde workaround (in genoemde pagina) ASAP uit te voeren indien je Exchange 2007 of later draait en OWA gebruikers hebt (d.w.z. uitschakelen van die trancoding services totdat een patch beschikbaar is en je deze hebt geïmplementeerd).

Nb Exchange 2003 en ouder zijn niet kwetsbaar volgens Microsoft.

Sharepoint 2010

Sharepoint 2010 is, volgens Microsoft, alleen kwetsbaar indien FAST Search met Advanced Filter Pack is aangezet. Daarnaast moet een kwaadwillende gebuiker dan ook toegang hebben tot SharePoint. Het onmiddellijke risico lijkt me dus veel groter bij Exchange installaties.

Het lijkt erop dat er Oracle Microsoft niet heeft gewaarschuwd of dat Microsoft aankondigingen van Oracle heeft gemist, en blijkbaar niet weet dat ze zelf dit soort componenten gebruikt...

Exploits zijn ondertussen gepubliceerd, o.a. 3 stuks hier: http://www.exploit-db.com/dos/ (geen diee waarom ze daar de onder "DoS" staan, de auteur (http://www.protekresearchlab.com/) heeft het over remote code execution).

Het gaat om een flink aantal kwetsbaarheden (zie de "Outside In" vulnerabilities in http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html#Oracle%20Fusion%20Middleware en de CVE references in http://technet.microsoft.com/en-us/security/advisory/2737111).

Meer waarschuwingen: http://secunia.com/advisories/50019 en https://isc.sans.edu/diary/Microsoft+Exchange+Sharepoint+and+others+Oracle+Outside+In+Vulnerability/13780.

Info over de onderhavige Oracle "Outside In" libraries: http://www.oracle.com/technetwork/middleware/webcenter/content/oit-all-085236.html (en http://www.oracle.com/technetwork/middleware/webcenter/content/htmlexport-092288.html). Overigens is dit niet de eerste keer dat er kwetsbaarheden in deze libraries worden gevonden.

Volgens http://www.kb.cert.org/vuls/id/118913 zijn de oracle Outside In libraries met versies OUDER DAN 8.3.5.6369 en 8.3.7.171 kwetsbaar. Het zou gaan om gemanipuleerde bestanden met de volgende extensies: .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG, en .CDR.

Bedankt BitWiper voor deze aanvulling. De aanvalsvector is zodanig dat ik dit advies volg.

In http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=118913&SearchOrder=4 staat van welke softwareleveranciers bekend is dat ze gebruik maken van de -kwetsbare- Oracle Outside In libraries:

Affected:Onbekend:
Voor degenen die vermoeden dat ze kwetsbare producten gebruiken, Googlen naar: geeft soms de benodigde info (vervang novell.com door de gewenste leverancier).

Zo vond ik o.a. http://www.windream.com/download/Patches/OutsideIn/ReleaseNotes.txt welke een flinke vulnerability-history laat zien van Oracle Inside Out...

Als iemand aanvullende info heeft over lekke producten, vernemen we dat graag!

Interessant is dat http://computer-forensics.sans.org/blog/2010/04/27/arbitrary-code-execution-examiner-systems-file-corruption vermeldt dat zowel EnCase als FTK (beide bekende forensische onderzoektools) van de Oracle Outside In libraries gebruik maken.

En dit is dus 1 van de redenen waarom goede forensisch onderzoekers nooit een origineel medium inspecteren maar een 1-op-1 kopie daarvan. Wel is het zaak dat zij zich realiseren dat dit soort kwetsbaarheden bestaan, en je dus door slimme criminelen op het verkeerde been kunt worden gezet...

MICROSOFT BLUNDER: volgens http://www.kb.cert.org/vuls/id/MAPG-8SRTG5 heeft US-CERT Microsoft al op 26 Mar 2012 gewaarschuwd voor lekken in Oracle Outside In nadat Microsoft op 23 maart https://blogs.technet.com/b/exchange/archive/2007/03/23/3401668.aspx?Redirected=true had gepubliceerd...

Waarschijnlijk omdat de gepubliceerde files niet meer dan een DoS veroorzaken. Zie het in dit geval als een proof of concept waar eventueel meer uit te halen is. De categorie is dus niet voor niks DoS/PoC op exploit db en zegt meer over de exploit (DoS) in plaats van de vulnerability (heap / stack overflow). Overigens staat dat ook duidelijk in de titels:

- Oracle Outside-In FPX File Parsing Heap Overflow
- Oracle Outside-In LWP File Parsing Stack Based Buffer Overflow
- Oracle Outside-In JP2 File Parsing Heap Overflow

Je hebt gelijk. Een FC /B tussen de originele file http://pws.prserv.net/waha/neighborhood-watch.lwp/neighborhood%20watch.lwp en http://www.protekresearchlab.com/exploits/PRL-2012-25.lwp geeft slechts de volgende verschillen:Da's inderdaad geen uitvoerbare code. Maar reken maar dat die snel volgt...

Een Heap/Stack Overflow exploit kan zowel remote code exec als DoS betekenen (zie ook http://www.exploit-db.com/remote/).