Nieuws
image

Extreem ernstig lek in Windows XP en Windows Server 2003

woensdag 28 december 2005, 12:45 door Redactie, 8 reacties

De 0day Windows exploit die vanochtend werd gemeld blijkt misbruik te maken van een onbekend en extreem ernstig lek in Windows XP en Windows Server 2003. Door het lek, dat actief misbruikt wordt, kan een aanvaller controle over een kwestbaar systeem krijgen. De Windows Metafile kwetsbaarheid is bevestigd in Windows XP met SP2, maar ook Windows XP SP1, Microsoft Windows Server 2003 met SP0 en SP1 zouden kwetsbaar zijn. Het Deense Secunia sluit niet uit dat ook andere Windows platformen risico lopen.

Aangezien er nog geen patch is wordt gebruikers aangeraden om geen ".wmf" bestanden van onbetrouwbare bronnen te bekijken, en het security level in Internet Explorer op "High" te zetten.

De exploit wordt op dit moment gebruikt voor het installeren van de volgende malware:

  • Trojan-Downloader.Win32.Agent.abs
  • Trojan-Dropper.Win32.Small.zp
  • Trojan.Win32.Small.ga
  • Trojan.Win32.Small.ev.

    Het Finse F-Secure heeft getest dat oude versies van Firefox WMF bestanden standaard met de "Windows Picture and Fax Viewer" openen. Firefox 1.5 gebruikt voor WMF bestanden standaard Media Player, dat niet kwetsbaar is. Ook Opera opent de bestanden standaard met de "Windows Picture and Fax Viewer", maar waarschuwt gebruikers eerst. Uit voorzorg wordt aangeraden om alle toegang tot unionseek(punt)com te blokkeren en alle WMF bestanden op HTTP proxy en SMTP niveau te filteren.

    • Reacties (8)
    28-12-2005, 13:20 door Anoniem
    Is dit nou weer dankzij een flut-patch van Microsoft voor .53 ?
    28-12-2005, 13:57 door Anoniem
    Ik wil ook geen IE op mijn server hebben (en ook niet op XP
    btw).
    28-12-2005, 15:48 door G-Force
    Door Anoniem
    Ik wil ook geen IE op mijn server hebben (en ook niet op XP
    btw).

    Begrijpelijk is dit wel. Ik vraag me wel zo langzamerhand af of de mens ooit
    in staat is om bomvrije software te maken. Eerlijk gezegd vertrouw ik geen
    enkel pakket meer.
    28-12-2005, 18:01 door Anoniem
    wmf bestanden waren oorspronkelijk bedoeld als een vectorweergave van
    plaatjes. Hoe Microsoft het voor elkaar heeft gekregen om ook hier weer
    malware in te kunnen laten (ver)stoppen is mij onduidelijk. Nog even en je
    kunt een virus oplopen door het openen van een simpel ASCII
    tekstbestand. Chapeau! Microsoft. Ga vooral zo door.
    28-12-2005, 18:45 door Anoniem
    Het 0day exploit is NIET gevaarlijk en NIEMAND heeft er last van!

    Ze hebben een vacature voor Security Advisor bij MS die het mag gaan "uitleggen" aan het publiek.


    De Security Advisor operereert vanuit de Business Marketing Organisation om de maatschappelijke verantwoordelijkheid van
    Microsoft ten aanzien van security uit te dragen naar
    individuele consumenten, het midden en kleinbedrijf, large
    enterprises, beleidsmakers, journalisten en
    belangenverenigingen.

    Je bent het "gezicht" van Microsoft als het gaat om
    beveiliging en bouwt relaties op in een groot netwerk. Een
    van jouw taken is de directe communicatie met de
    verschillende doelgroepen. Je weet elke doelgroep aan te
    spreken in de juiste bewoording en toon. De uiteindelijke
    doelstelling is om de perceptie ten aanzien van de security-
    strategie van Microsoft in positieve zin te veranderen.


    http://www.microsoft.com/netherland...res/bmo_sa.aspx

    Functie voorwaarde 3:

    # Aantoonbaar succesvol in het beinvloeden van de perceptie van relevante maatschappelijke onderwerpen. (Windows is WEL veilig!)

    Ik heb een aantal mogelijke kandidaten "gespot" op Security.nl...;)

    - Q -

    Acquisitie op geplaatste advertentie word niet op prijs gesteld :LOL
    29-12-2005, 03:11 door Anoniem
    Wat is hier nou gevaarlijk aan? Zolang het geen lek met een port is die
    luistert is et voor mij bullshit
    29-12-2005, 13:39 door Anoniem
    McAfee maakt zich niet zo druk. Maar ja, die zijn dan ook iets bekwamer op
    dit gebied:

    Trojan Name Risk Assessment
    Exploit-WMF Corporate User : Low
    Home User : Low
    Trojan Information
    Discovery Date: 12/27/2005
    Origin: Unknown
    Length: Varies
    Type: Trojan
    SubType: Exploit
    Minimum DAT: 4661 (12/28/2005)
    Updated DAT: 4661 (12/28/2005)
    Minimum Engine: 4.4.00
    Description Added: 12/27/2005
    Description Modified: 12/27/2005 10:11 PM (PT)
    08-01-2006, 15:01 door Anoniem
    Als ik met mijn virusscanner(Kaspersky) scan dan komt er soms te staan

    Object is infected with a virus Trojan-Downloader.Win32.Ist.... You are
    advised to delete this object.

    Gaat dit virus uiteindelijk weg door het steeds te deleten of moet ik nog
    andere maatregelen ondernemen??
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.

    Zoeken
    search