image

"WMF lek in Windows is bewuste backdoor van Microsoft"

zaterdag 14 januari 2006, 00:02 door Redactie, 21 reacties

Microsoft heeft het ernstige WMF lek in Windows 2000 en XP gedicht, maar in het onderzoek naar een fix voor Windows 95, 98 en ME, zegt security onderzoeker Steve Gibson een zeer bijzondere ontdekking te hebben gedaan. Volgens Gibson is het WMF lek geen programmeerfout, maar is het een bewuste backdoor die door Microsoft voor nog onbekende redenen in de besturingssystemen is aangebracht.

Volgens Gibson wijst alles erop dat de softwaregigant op de hoogte van de functie was. Het is geen Trojaans paard, waarbij Microsoft remote machines kan besturen. Zou Microsoft in de toekomst de mogelijkheid willen hebben om code op de PC's van haar gebruikers uit te voeren, ook al staat ActiveX uit en firewalls aan, dan kon het via deze code.

Bij toeval werd de code ontdekt, en ook al heeft Microsoft het lek nu gedicht. Dat neemt niet weg dat er nog meer backdoors aanwezig kunnen zijn, een van de problemen als je de code niet kunt bekijken, laat Gibson weten. Ook de mogelijkheid dat Microsoft het probleem over het hoofd heeft gezien wuift hij weg. Er zijn al vaker problemen met meta files geweest, waarbij de softwaregigant de code heeft doorgelopen, en dit probleem heeft laten zitten.

De security onderzoeker zal verder onderzoek uitvoeren en heeft nog niemand over zijn ontdekking ingelicht, waaronder Microsoft, hoewel hij wel hoopt dat de softwaregigant tekst en uitleg zal geven waarom er een backdoor in Windows aanwezig is.

Reacties (21)
14-01-2006, 00:39 door Anoniem
De enige reactie die MS zal geven, of deze beschuldiging nu
vals is of waarheid: het is geen backdoor.
14-01-2006, 01:22 door Bitwiper
Een aantal technische aannames van Steve zijn onjuist, uit
http://www.grc.com/sn/SN-022.htm op dit moment:

> Steve: Yeah. Basically you're giving Windows a pointer.
> You're giving Windows a pointer to a subroutine in
> your code and telling Windows, if the user aborts the
> print job, and I've given you a pointer, then call that
> subroutine of mine, which is a way for Windows to
> notify the application.

Zo werkt het niet. Je vertelt aan windows waar jouw functie
staat, en die wordt vervolgens door windows onder
verschillende omstandigheden aangeroepen, o.a. aan het begin
van "de pagina". Het is jouw functie die de het
printproces kan afbreken door 0 terug te geven. Dat is de
reden dat exploit-code meteen werkt en niet pas als er een
fout optreedt.

Deze aanpak stamt uit de Windows 3.x tijd. Toen was er geen
echte multitasking tussen applicaties, Program Manager en
Print Manager (wel bijv. in de netwerklaag). Als de disk vol
liep met een pagina die nog niet geheel naar de printer
geflushed was, werd jouw functie aangeroepen. Je kon daarin
dan "wachten" tot die pagina wel geflushed was, en er dus
weer ruimte op de schijf vrijkwam voor de volgende pagina.
Tijdens dat wachten moest je wel vanuit jouw "AbortProc"
routine met bijv. PeekMessage windows de kans geven om het
printen uit te voeren. Info:
http://msdn.microsoft.com/archive/en-us/dnargdi/html/msdn_print.asp
http://the.wall.riscom.net/books/win/petzbook/PART4_15.TXT

> Steve: Yeah. Yeah. So I asked myself, isn't there, like,
> a constructive purpose for putting code in a metafile?
> And the problem is, code running in the metafile
> doesn't have access to the context of the metafile.

Ik heb het niet getest, maar volgens de WinAPI van AbortProc
(en de oude Escape SETABORTPROC) krijg je wel degelijk een
HDC parameter via de stack, maar die wordt zelden gebruikt.
Zie de voorbeelden in bovenstaande URL's van Mircosoft en
het tekst uit een boek van Charles Petzold.

Verder wordt er op FD op gewezen dat WINE ook kwetsbaar is:
http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041384.html

Ik geloof niet in een bewuste backdoor. Wel ga ik er van uit
dat Microsoft geweten moet hebben van dit "lek" en het
bewust niet gepatched heeft. Wellicht omdat er printer
drivers (mogelijk door Microsoft bij Windows meegeleverde)
in omloop zijn die hier gebruik van maken. Ik heb geen
referenties gevonden naar het opslaan van code in metafiles;
ik sluit niet uit dat die mogelijkheid pas met de opkomst
van GDI printers is gerealiseerd en dus helemaal niet zo oud
is (in dat geval zal er andere functionaliteit achter
schuilen dan de afhandeling van volle schijven, want die
zijn tegenwoordig ietsje groter dan in de Win 3.x tijd).

Na eerdere kwetsbaarheden (die ik hieronder noem) kan ik me
niet voorstellen dat de lekken van eind december en begin
januari niet gevonden zijn door Microsoft medewerkers.
Oftewel, er is bewust niet gezocht, of er mocht niet
gepatched worden.

Het is al eerder gebeurd dat shimgvw.dll de schuld kreeg van
een metafile probleem in GDI:
"Microsoft Windows XP Windows shell shimgvw.dll buffer
overflow", gepatched door MS04-011:
http://xforce.iss.net/xforce/xfdb/15284
Waar het wel aan lag (en het duurde 164 dagen voordat deze
gepatched was, irresponsible disclosure gaat een stuk sneller):
http://www.eeye.com/html/Research/Advisories/AD20040413F.html

http://www.microsoft.com/technet/security/bulletin/MS05-053.mspx
patchte nog eens twee metafile problemen. Beide waren door
third parties aangekaart.

Erik van Straten
14-01-2006, 01:35 door G-Force
Het doet me bijna denken aan de NSA-key affaire die enige jaren
geleden door iemand werd "ontdekt" en waarvan gezegd werd dat de NSA kon meekijken op een Windows machine...
14-01-2006, 11:53 door Anoniem
Sony : rootkit
MS : backdoor

Wat is er toch mis met die grote bedrijven tegenwoordig...
14-01-2006, 14:03 door Anoniem
Door Peter.V
Het doet me bijna denken aan de NSA-key affaire die enige jaren
geleden door iemand werd "ontdekt" en waarvan gezegd werd
dat de NSA kon meekijken op een Windows machine...

en wat ook onzin bleek te zijn...
14-01-2006, 14:21 door Constant
Het is soms verbazingwekkend hoe met weinig bewijs een geweldige
samenzweringstheorie in elkaar gefantaseerd kan worden, zijn de
Amerikanen goed in.
14-01-2006, 17:14 door Anoniem
Door Constant
Het is soms verbazingwekkend hoe met weinig bewijs een geweldige
samenzweringstheorie in elkaar gefantaseerd kan worden, zijn de
Amerikanen goed in.

Tja, Gibson....

De naam zegt genoeg.
14-01-2006, 17:30 door Anoniem
Och, het draait allemaal om één ding: macht. Niet geld, want
dat is slechts een middel.

Hier is het allemaal eigenlijk allemaal open-source, scheelt
een hoop.
15-01-2006, 11:23 door Anoniem
Door Constant
Het is soms verbazingwekkend hoe met weinig bewijs een geweldige
samenzweringstheorie in elkaar gefantaseerd kan worden, zijn de
Amerikanen goed in.

Nou, Nederlanders niet minder hoor.

Maar goed, in dit geval is het niet erg waarschijnlijk dat dit een bewuste
backdoor is. Zoiets kan je wel slimmer opzetten. Een goede backdoor doet
geen afbreuk aan de beveiliging voor de gebruiker en geeft alleen de
eigenaar van de backdoor sleutel toegang.

Of die in Windows zit? Wie weet.

In Linux (of andere open source) komt daar nog een andere dimensie bij
aangezien de broncode openbaar is. Daarbij zal je nog strijd hebben
tussen de verschillende partijen die ieder hun eigen backdoor willen
hebben.
15-01-2006, 13:16 door Anoniem
Tja, stel dat microsoft al zijn code zou gaan naspitten en
er zou een windows patch uitkomen die 500 security fixes
bevat, dan zou dat niet echt fraai staan (ondanks dat het
voor ons wel fijn zou zijn).

Voor microsoft's image is het beter om iedere maand 2-3
patches te releases zijn van zaken die wel boven water zijn
gekomen, dan om oude koeien uit de sloot te halen.
15-01-2006, 15:35 door Anoniem
Als zo een fout in linux werd gevonden, zou het dan ook een backdoor zijn?
16-01-2006, 09:00 door hugo_nl
Door Anoniem
Door Peter.V
Het doet me bijna denken aan de NSA-key affaire die enige jaren
geleden door iemand werd "ontdekt" en waarvan gezegd werd
dat de NSA kon meekijken op een Windows machine...

en wat ook onzin bleek te zijn...
Hahaha -- nee hoor dat hoop jij en dat is niets
meer
dan een betekenisloze aanname

Het was namelijk zeer zeker geen onzin -- deze genoemde
NSAKey zat er zeer zeker in.

Jij slikt alleen Microsoft's excuus 'dat 't slechts om een
slecht gekozen naam zou gaan'...

Ach ja, met zo'n instelling blijven Windows-gebruikers
zwakzinnig.

Je hebt immers geen mogelijkheid dit te controleren waarom
geloof je hun excuus dan, en nog erger, durf je dit als
bewijs te gebruiken tegen een argument dat Microsoft
niet betrouwbaar zou zijn......

Geloof je zeker ook dat Osama machtiger is dan de US en een
stelletje hoofddoeken met militaire precisie vliegtuigen
kunnen kapen, mensen in de benodigde posities om kunnen
kopen om militaire onderdelen met een kluitje het riet in te
sturen en dat de FBI en CIA echt hun best doen om hun eigen
gecreerde terrorist te pakken?

*zucht*

The Bewildered Herd is behoorlijk bewildered de
laatste tijd....

EDIT Oh ja, psssst, Vista zou toch opnieuw geschreven zijn?

WMF bug zit daar ook in. Ach! Loog Microsoft gewoon toen ze zei dat ze het from-scratch weer opnieuw gingen doen. Shit wat stom van mij dat ik hun geloofde.</sarcasme>
16-01-2006, 09:24 door Anoniem
Door hugo_nl
WMF bug zit daar ook in. Ach! Loog Microsoft gewoon toen ze zei dat ze het
from-scratch weer opnieuw gingen doen. Shit wat stom van mij dat ik hun
geloofde.</sarcasme>

Dat roepen ze toch bij elke versie sinds DOS 6.22?
16-01-2006, 09:50 door Anoniem
Door Anoniem
Door Constant
Het is soms verbazingwekkend hoe met weinig bewijs een geweldige
samenzweringstheorie in elkaar gefantaseerd kan worden, zijn de
Amerikanen goed in.

Nou, Nederlanders niet minder hoor.

Maar goed, in dit geval is het niet erg waarschijnlijk dat dit een bewuste
backdoor is. Zoiets kan je wel slimmer opzetten. Een goede backdoor doet
geen afbreuk aan de beveiliging voor de gebruiker en geeft alleen de
eigenaar van de backdoor sleutel toegang.

Of die in Windows zit? Wie weet.

In Linux (of andere open source) komt daar nog een andere dimensie bij
aangezien de broncode openbaar is. Daarbij zal je nog strijd hebben
tussen de verschillende partijen die ieder hun eigen backdoor willen
hebben.


Heeft iemand daar al eens onderzoek naar gedaan?
16-01-2006, 10:10 door Anoniem
Door hugo_nl

EDIT Oh ja, psssst, Vista zou toch opnieuw geschreven
zijn?

WMF bug zit daar ook in. Ach! Loog Microsoft gewoon toen ze
zei dat ze het from-scratch weer opnieuw gingen doen. Shit
wat stom van mij dat ik hun geloofde.</sarcasme>
Microsoft heeft NOOIT gezegd dat ze Vista from scratch
zouden herschrijven. Het enige product waarbij ze dat
aangekondigt en gedaan hebben is IIS.
16-01-2006, 11:19 door Anoniem
Door hugo_nl
Door Anoniem
Door Peter.V
Het doet me bijna denken aan de NSA-key affaire die enige jaren
geleden door iemand werd "ontdekt" en waarvan gezegd werd
dat de NSA kon meekijken op een Windows machine...

en wat ook onzin bleek te zijn...
Hahaha -- nee hoor dat hoop jij en dat is niets
meer
dan een betekenisloze aanname

Het was namelijk zeer zeker geen onzin -- deze genoemde
NSAKey zat er zeer zeker in.

Jij slikt alleen Microsoft's excuus 'dat 't slechts om een
slecht gekozen naam zou gaan'...

Schneier is het in elk geval niet met je eens.
16-01-2006, 11:40 door hugo_nl
Door Anoniem
Dat roepen ze toch bij elke versie sinds DOS 6.22?
*grin* oh ja. :)
16-01-2006, 11:47 door hugo_nl
Door Anoniem
Als zo een fout in linux werd gevonden, zou het dan ook een
backdoor zijn?

Jawel, alleen is dat er dan eentje die dikwijls door
boosdoeners zijn geplaatst (wellicht M$ of andere mensen die
Linux als dreiging zien).

Ik kan me iets met mm_remap herinneren waar een achterdeur
zat, maar weet niet meer hoe dat precies zat -- ben zelf
geen kernel-hacker dus geen idee.

Daarentegen, deze klassieker vertelt je dat niets te
vertrouwen is:

http://www.acm.org/classics/sep95/

Maar, omwege het feit dat niets te vetrouwen is, de
schouders ophalen en alsnog gesloten (dus o.a. MS of Apple)
software gaan gebruiken lijkt me de zwakzinnigste manier om
te handelen.
16-01-2006, 11:48 door Anoniem
Door Anoniem
Tja, stel dat microsoft al zijn code zou gaan naspitten en
er zou een windows patch uitkomen die 500 security fixes
bevat, dan zou dat niet echt fraai staan (ondanks dat het
voor ons wel fijn zou zijn).

Voor microsoft's image is het beter om iedere maand 2-3
patches te releases zijn van zaken die wel boven water zijn
gekomen, dan om oude koeien uit de sloot te halen.

Als ze deze patches ineens zouden uitbrengen, dan krijgt Windows ook
een nieuwe naam: Linux
18-01-2006, 15:17 door Anoniem
Microsoft heet een gag-order een blackbox in hun netwerk
hangen waar TLA's elke seconde op kunnen inloggen.
19-01-2006, 15:31 door Anoniem
Door Anoniem
Microsoft heet een gag-order een blackbox in hun netwerk
hangen waar TLA's elke seconde op kunnen inloggen.

TLA's?
Zoals IBM? Of NOS? of (de hemel beware ons) de KRO?
Of misschien wel het illustere kwartet van HTM, RET, GVU en GVB?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.