Nieuws
image

JPGTrojan.C voor de makkelijke systeemhack

zaterdag 9 oktober 2004, 09:27 door Redactie, 11 reacties

Windows gebruikers die hun machine nog niet met de laatste patches geupdate hebben kunnen dit beter doen. Er zijn al verschillende programma's verschenen die van het JPEG lek in Windows (Microsoft bulletin MS04-028) misbruik maken, zoals JPGTrojan.C. Het programma genereert kwaadaardige JPG plaatjes en verspreidt deze op verschillende manieren. Als een van deze plaatjes met een kwetsbaar programma wordt geopend zal de code worden uitgevoerd, wat de volgende gevolgen kan hebben:

  • Voegt een nieuwe gebruiker toe en geeft deze gebruiker administrator rechten.
  • Specificeert een port die geopend moet worden, zodat remote toegang mogelijk is.
  • Specificeert een remote IP adres en port en maakt verbinding.
  • Downloadt een executable bestand en draait deze op de getroffen PC.
Sommige van deze acties kunnen alleen op een Engelstalige versie van Windows XP worden uitgevoerd of als er een bepaalde versie van de Dynamic Link Library GDIPLUS.DLL is geinstalleerd. (HNS)
Reacties (11)
09-10-2004, 12:56 door Anoniem
hebben Firefox gebruikers hier ook last van?
09-10-2004, 15:58 door Anoniem
pfff erg oud nieuws

09.27.2004 : Windows JPEG GDI+ All in One Remote Exploit (MS04-028)

JPG.c file zal wel een geript ding zijn ofzo van deze
Zo bijzonder vind ik deze lek niet trouwens, je moet zelf de lek maken door
zo'n jpg ding te generen en iemand het laten openen
rootzooi dus....
09-10-2004, 16:23 door Anoniem
Door Anoniem
Zo bijzonder vind ik deze lek niet trouwens, je moet zelf de
lek maken door
zo'n jpg ding te generen en iemand het laten openen
rootzooi dus....

Dump een paar van die plaatjes in porno newsgroups en na een
tijdje heb je waarschijnlijk een mooi DDoS botnet waarmee je
sites van willekeurige overheden plat kan gooien...
09-10-2004, 23:28 door Anoniem
Op 09 oktober 2004 12:56 schreef Anoniem:
> hebben Firefox gebruikers hier ook last van?

Voor zover ik weet niet direct. Wel als je een gemanipuleerd plaatje
saved op je schijf en je daarna met de XP verkenner de map opent met
dat plaatje er in, dan kan, als ik het goed begrepen heb, de preview
daarvan de exploit triggeren - tenzij je je systeem goed gepatched hebt.

Overigens hoeft het trojan plaatje niet de extensie .jpg of .jpeg te hebben;
als deze bijv. een .gif extensie heeft, herkent Windows aan de inhoud
dat het om jpeg gaat.

Omdat er nogal wat DLL's op je systeem voor kunnen komen met
de buggy code er in, bestaat MS04-028 feitelijk uit meedere patches.
Zie http://www.microsoft.com/security/bulletins/200409_jpeg.mspx
Probleem is dat WindowsUpdate ze soms niet altijd allemaal vindt.

Op http://isc.sans.org/gdiscan.php kun je gratis tools downloaden die
checken of alle DLL's gepatched zijn. Oudere Windows versies kunnen
nog een potentieel vulnerable vgx.dll hebben (onderdeel van IE6 SP1);
hoewel niet op de webpage genoemd, vinden de Sans tools deze ook.

De GUI version gebruikt RTF in z'n output window; oudere Windows
versies laten dit als platte tekst zien. Om deze leesbaar te maken:
druk de Clipboard knop en plak de inhoud in je favoriete editor. Sla het
resultaat op als scan.txt, en verander daarna in verkenner de extensie
".txt" in ".rtf". Dubbel-klik daarna de file zodat deze in Word of Wordpad
wordt geopend, dan is hij wel goed leesbaar. De commandline scanner
kent dit probleem niet, die schrijft gewoon een ASCII logfile.

Erik van Straten
09-10-2004, 23:47 door Anoniem
Alle API's en applicaties die gebruik maken van de standaard Windows GDI
libraries hebben hier last van, want dit is een GDI+ library exploit.. Kortom
bijna alle programma's die met de MFC's (Microsofts Foundation Classes)
zijn geschreven.
Dit is teven ook de reden waarom iedereen zo druk in de weer is geweest
met het in het praktijk brengen van deze explot, sinds de theorie een 1,5
maand geleden bekend werd gemaakt door MS.

edgecrush3r
10-10-2004, 09:48 door Anoniem
Door Anoniem
pfff erg oud nieuws

09.27.2004 : Windows JPEG GDI+ All in One Remote Exploit (MS04-028)

JPG.c file zal wel een geript ding zijn ofzo van deze
Zo bijzonder vind ik deze lek niet trouwens, je moet zelf de lek maken door
zo'n jpg ding te generen en iemand het laten openen
rootzooi dus....
----------
en hoe moet iemand doe dit nit weet deze val omzeile ?
dat durf je niet te vertelle zekers

maar dat geeft niet, prutsers zoals jij zeggen wel vaker wat
en er komt nooit iets van
10-10-2004, 09:50 door Anoniem
Door Anoniem
pfff erg oud nieuws

09.27.2004 : Windows JPEG GDI+ All in One Remote Exploit (MS04-028)

JPG.c file zal wel een geript ding zijn ofzo van deze
Zo bijzonder vind ik deze lek niet trouwens, je moet zelf de lek maken door
zo'n jpg ding te generen en iemand het laten openen
rootzooi dus....
----------
en hoe moet iemand doen dit niet weet deze val omzeile ?
dat durf je niet te vertelle zekers

maar dat geeft niet, prutsers zoals jij zeggen wel vaker wat
en er komt nooit iets van
10-10-2004, 21:33 door Anoniem
draadloos hacken is de nieuwe tijdperk wees voorbereid were back.
11-10-2004, 09:05 door Anoniem
Door Anoniem
hebben Firefox gebruikers hier ook last van?

Wel als ze IE gebruiken op jpg's te bekijken ;-P
Nee dus, dit is een IE bug.
11-10-2004, 15:30 door Anoniem
Is er al voorbeeldcode beschikbaar hoe je dit soort jpegs kan herkennen?
(dus niet de dll maar 'geinfecteerde' jpegs)
13-10-2004, 21:53 door Anoniem
quote:
--------------------------------------------------------------------------------
Door Anoniem
hebben Firefox gebruikers hier ook last van?
--------------------------------------------------------------------------------

Firefox is gebruikt de Gecko Engine voor zowel de renderization van text
markup als binair embedded plaatjes. Firefox is aldus independend van
de GDIPLUS.library... MSN schijnt echter een ander verhaal te zijn.

edgecrush3r
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search