Nieuws

Gevaarlijke 0day exploit infecteert Windows XP systemen

woensdag 28 december 2005, 10:45 door Redactie, 10 reacties

Op de Buqtrag mailinglist is een link verschenen naar een gevaarlijke 0day exploit die volledig gepatchte Windows XP systemen kan infecteren. Het gaat waarschijnlijk om een kwetsbaarheid in de Graphics Rendering Engine van Windows.

De website opent een WMF (Windows Meta File), die een Trojan dropper op het systeem installeert, zelfs als er een volledig bijgewerkte versie van Norton Anti-Virus wordt gebruikt, hoewel het virus wel door de scanner van F-Secure zou worden gezien. De dropper downloadt Winhound, een nep anti-spyware/virus programma die de gebruiker vraagt om de volledige versie te kopen, waarmee de gevonden "dreigingen" verwijderd kunnen worden.

Een test van het Internet Storm Center liet zien dat de aanval door DEP (Data Execution Prevention) werd voorkomen. In Internet Explorer wordt automatisch de "Windows Picture and Fax Viewer" gestart, waarmee de exploit wordt uitgevoerd.

Firefox gebruikers zijn niet volledig immuun, want bezoekt men een pagina met de exploit, dan verschijnt er een venster waarin wordt gevraagd of de gebruiker de afbeelding via de Windows Picture and Fax Viewer wil bekijken. Bekijkt men het "plaatje" dan wordt de kwaadaardige code ook uitgevoerd.

Hieronder de link in kwestie. Er wordt dringend aangeraden de website alleen te bezoeken als je weet wat je doet. Om ongelukjes te voorkomen hebben we een punt in de URL gezet: unionseek (punt) com/d/t1/wmf_exp.htm

Amerikaans leger niet blij met soldaten blogs

Hoe weet je dat de overheid je e-mail leest

Reacties (10)

28-12-2005, 13:01 door Anoniem

Iedereen die een web site bezoekt denkt te weten wat ie doet, dat is
onvoldoende waarschuwing. Je moet expliciet zeggen dat je besmet kunt
raken met de trojan door alleen op de link te klikken.

Er is natuurlijk geen enkele reden om naar die site te gaan voor mensen
die geen malware specialist zijn.

28-12-2005, 15:42 door G-Force

Helaas bestaan er geen virusscanners die volledige beveiliging geven.
Elke virusscanner heeft zijn pro's en zijn contra's.

Ik heb de betreffende link al in de zone van websites geplaatst met
beperkte toegang. De Firewall is al geconfigureerd, waardoor de
domeinnaam geblokkeerd is. Sluw doorlinken via een andere website is
dan ook niet meer mogelijk.

EEN TWEEDE VRAAG IS NOG DRINGENDER : WANNEER GOOIT MICROSOFT DIT ERNSTIGE LEK DICHT??

28-12-2005, 16:16 door Anoniem

EEN TWEEDE VRAAG IS NOG DRINGENDER : WANNEER GOOIT MICROSOFT
DIT ERNSTIGE LEK DICHT??

Is dit lek erg genoeg? Dan zit ie misschien wel in de
volgende patchcyclus... Mits de patch voldoende getest is
natuurlijk, anders kan het nog een extra maandje duren...

Ik zou zeggen: release de broncode en duizenden
ontwikkelaars zullen zich er over ontfermen en extreem snel
met patches aan komen zetten... Iedereen blij... Toch?

28-12-2005, 18:49 door Anoniem

http://www.f-secure.com/weblog/archives/archive-122005.html#00000753

De Google Desktop opent deze files automatisch, zelfs als de files met
wget zijn binnengehaald.

28-12-2005, 19:00 door Anoniem

Is dit lek erg genoeg?

Erg genoeg?

Ik heb het getest:

- Op server exploit draaien
- Op client klikken op http://21.xx.xx.xx:8080/anything.wmf

resultaat op server:
.
.
[*] Got connection from 21x.xx.xx.xx:4321 <-> 8x.xx.xx.x4:1076

Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:Documents and SettingsXxxxxBureaublad>

28-12-2005, 20:00 door Anoniem

Het 0day exploit is NIET zo gevaarlijk als men doet geloven, uw systeem loopt alleen risico wanneer u deze heeft voorzien van:

1. Netspanning

2. Internetverbinding

3. Windows besturingsysteem

:LOL:
http://www.security.nl/article/12590/1/Extreem_ernstig_lek_in_Windows_XP_en_Windows_Server_2003.html

- Q -

28-12-2005, 21:00 door Anoniem

2e dinsdag van januari lijkt me een mooi moment :)

28-12-2005, 21:08 door Anoniem

Door Anoniem
Iedereen die een web site bezoekt denkt te weten wat ie
doet, dat is
onvoldoende waarschuwing. Je moet expliciet zeggen dat je
besmet kunt
raken met de trojan door alleen op de link te klikken.

Er is natuurlijk geen enkele reden om naar die site te gaan
voor mensen
die geen malware specialist zijn.

Als jij naar een pagina als NU.NL gaat, dan maakt jouw PC
verbindingen met gemiddeld 400 url's. Het merendeel is niet
eens van de IDG groep. Er hoeft maar EEN url bij te zitten
die desnoods doorlinkt naar een bepaalde website.... en
kassa... Laat staan wat er gebeurt als je naar
serial-websites of p0rno of andere open-wonden websites
gaat... MSIE kan zomaar 200 webpagina's openen zonder die te
laten zien (voor die crasht).

Een van de ideeen die ik geopperd had op een blackhat
seminar en die prompt een maand later ook daadwerkelijk
uitgevoerd werd.

Dus kom alsjeblieft niet aanzetten met "niemand komt ooit op
'vaute' websites".
Het enige probleem van eerder genoemde exploit is dat hij
een BEKEND stukje virus wil installeren... De exploit ZELF
wordt niet gedetecteerd, het stukje software dat hij
download NA infectie wel.. Het is gewoon verschrikkelijk dom
geschreven en nog dommer uitgevoerd...

Ik hou mijn hart vast wanneer er malware wordt geschreven
door mensen met het IQ van een visstick of meer.

29-12-2005, 00:32 door Anoniem

Of naast een alternatieve browser ook een andere plaatjes
kijker gebruiken ?!

29-12-2005, 17:34 door Anoniem

Door Anoniem
Een van de ideeen die ik geopperd had op een blackhat
seminar en die prompt een maand later ook daadwerkelijk
uitgevoerd werd.

Dus kom alsjeblieft niet aanzetten met "niemand komt ooit op
'vaute' websites".

Wees gerust, je bent niet de eerste die op de gedachte komt dat links of
iframes van advertentie sites van derden kunnen worden gebruikt om
trojans uit te voeren. Dat is in Nederland gebeurt bij startpagina.nl, Ilse en
diverse andere sites van dezelfde eigenaar. Oorzaak was het laden van
advertenties van een buitenlands bedrijf dat daarvoor de benodigde infra,
maar niet de inhoud levert.

Verder ben ik het eens met je betoog. Het is alleen nog veel erger dan je
denkt. Deze lek kan gebruikt worden om zeer infectueuze worm te maken.
Behalve dat het gebruikt kan worden op web sites, is ook Windows zelf
een probleem omdat de bestanden automatisch kunnen worden
ingelezen, een mailtje ontvangen kan al genoeg zijn. Als het bestand al op
schijf staat is het bekijken van die map met de Verkenner mogelijk al
voldoende om de exploit uit te voeren.

Workarounds:
1) regsvr32 /u shimgvw.dll

2) disable.reg
REGEDIT4

[HKEY_LOCAL_MACHINESOFTWAREClassesSystemFileAssociationsi
mageShellExContextMenuHandlersShellImagePreview]
@=""

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer