Microsoft waarschuwing, filmpje en fix voor WMF exploit
Microsoft heeft Windows gebruikers gewaarschuwd voor "een mogelijk lek" in het besturingssysteem dat inmiddels door talloze websites wordt gebruikt. Via de kwetsbaarheid kan een aanvaller controle over het systeem krijgen. De softwaregigant benadrukt wel dat een aanvaller de gebruiker zover moet weten te krijgen dat hij of zij een kwaadaardige website bezoekt.
De exploit wordt inmiddels door meer dan 50 websites gebruikt, waaronder:
m.cpa4 [dot] org
008k [dot] com
mscracks [dot] com
keygen [dot] us
dailyfreepics [dot] us
pornsites-reviews [dot] com
mmxo.megaman-network [dot]
com
600pics [dot] com
Crackz [dot] ws
unionseek [dot] com
www.tfcco
[dot] com
Iframeurl [dot] biz
beehappyy [dot] biz
Buytoolbar [dot] biz
teens7 [dot] com
Een patch van Microsoft mag dan nog ontbreken, er zijn wel verschillende workarounds:
1. Unregister SHIMGVW.DLL, zodat er in Internet Explorer via de "Windows picture and fax viewer" geen afbeeldingen meer bekeken kunnen worden.
2. Verander de associaties voor WMF bestanden.
3. Gebruik IESPYAD, een gratis tool die "block lists" aan de restricted zones van IE toevoegt.
Vanwege de ernst van de situatie en het feit dat veel beheerders met vakantie zijn heeft het Internet Storm Center "Infocon Yellow" afgekondigd. Internetgebruikers die zich afvragen hoe de exploit werkt, kunnen dit filmpje bekijken.
hernoemt wordt naar bijvoorbeeld foohoo.gif het nog steeds geopend
wordt als WMF bestand. Dus in principe kunnen alle soorten afbeeldingen
de exploit meedragen (GIF, JPEG etc...).
Check niet op file-extentie maar vooral op file-headers,
zowel binair, base64 alsook uuencoded.
van microsoft zo te zien.
exploit mee begint:
0000: 01 00 09 00 00 03 52 1F 00 00 06 00 3D 00 00 00
0010: 00 00 11 00 00 00 26 06 0F 00 18 00 FF FF FF FF
0020: FF 00 10 00 00 00 00 00 00 00 00 00 C0 03 85 00
0030: D0 02 00 00 09 00 00 00 26 06 0F 00 08 00 FF FF
0040: FF FF 02 00 00 00 17 00 00 00 26 06 0F 00 23 00
0050: FF FF FF FF 04 00 1B 00 54 4E 50 50 14 00 20 00
0060: B8 00 32 06 00 00 FF FF 4F 00 14 00 00 00 4D 00
0070: 69 00 00 00 0A 00 00 00 26 06 0F 00 0A 00 54 4E
0080: 50 50 00 00 02 00 F4 03 09 00 00 00 26 06 0F 00
0090: 08 00 FF FF FF FF 03 00 00 00 0F 00 00 00 26 06
00A0: 0F 00 14 00 54 4E 50 50 04 00 0C 00 01 00 00 00
00B0: 01 00 00 00 00 00 00 00 05 00 00 00 0B 02 00 00
00C0: 00 00 05 00 00 00 0C 02 D0 02 C0 03 04 00 00 00
00D0: 04 01 0D 00 07 00 00 00 FC 02 00 00 00 00 66 00
00E0: 00 00 04 00 00 00 2D 01 00 00 09 00 00 00 FA 02
00F0: 05 00 00 00 00 00 FF FF FF 00 22 00 04 00 00 00
Door op headers te checken kun je de juistheid van
bestanden controleren. Wijkt deze af, dan weet je dat het
geen doorgang kan of mag vinden.
wmf-headers zijn normaal gesproken alsvolgt opgebouwd:
typedef struct _PlaceableMetaHeader
{
DWORD Key; /* Magic number (always 9AC6CDD7h) */
WORD Handle; /* Metafile HANDLE number (always 0) */
SHORT Left; /* Left coordinate in metafile units */
SHORT Top; /* Top coordinate in metafile units */
SHORT Right; /* Right coordinate in metafile units */
SHORT Bottom; /* Bottom coordinate in metafile units */
WORD Inch; /* Number of metafile units per inch */
DWORD Reserved; /* Reserved (always 0) */
WORD Checksum; /* Checksum value for previous 10
WORDs */
} PLACEABLEMETAHEADER;
Toen heb ik ook windows 2000 opnieuw moeten installen omdat het
systeem niet hellemaal schoon te krijgen was.
[dot] ws is zo'n site waar je vooral niet heen moet gaan
omdat zich daar zo'n wmf bestand bevindt.
Niet echt slim van je om hem te posten!!!
waarvan gezegd wordt dat je die niet mag bekijken.
Hier hebben we dus NIETS aan!
WMF-bestanden beginnen met D7 CD C6 9A
Check niet op file-extentie maar vooral op file-headers,
zowel binair, base64 alsook uuencoded.
Bovendien kan het bijvoorbeeld gegzip'd zijn. Het is een
behoorlijke 'can of worms'.
Het echte probleem is denk ik onder andere dat op
verschillende manieren wordt gekeken wat te doen met een
bestand (zeg mime-type, bestandsnaam en magic numbers). Als
browsers bijvoorbeeld eens alleen rekening zouden houden met
het mime-type, en ook echt afdwongen dat het plaatje door de
aangeroepen code wordt opgevat als data van dat type, dat
zou al enorm helpen...
> WMF-bestanden beginnen met D7 CD C6 9A
Die definitie is onjuist, zoals Virtal zelf laat zien in
zijn volgende bijdrage; de exploits die nu in omloop
zijn, beginnen bij mijn weten allemaal met 01 00 09 00.
Metafiles die met D7 CD C6 9A beginnen zijn zogenaamde
placeable metafiles. Dat zijn gewone metafiles waar
een speciale header (van 22 bytes) voorgeplakt is, die o.a.
aangeeft hoe het "plaatje" geschaald moet worden. Ik weet
niet of de exploit ook werkt als er zo'n placeable header
voor zit.
Wat ondertussen ook bekend is, is dat de exploits op de een
of andere manier gebruik maken van "SetAbortProc" (scary
verhaal, maar te lang verhaal om hier uit te leggen; tipje
van de sluier: de uiteindelijke kwetsbaarheid zit in
GDI32.DLL). Punt is dat daarmee verderop in elke exploit de
bytes 26 06 09 00 voorbij komen. Dat is, als ik goed
begrepen heb, het belangrijkste aanknopingspunt voor
geactualiseerde virusscanners en SNORT rules.
Voorbeeld: zie onderaan wmf_head in
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php
E.e.a. is niet bedoeld om Virtal te bekritiseren (ik wist
e.e.a. een paar dagen geleden ook nog niet) maar om te
voorkomen dat mensen vanaf nu op het verkeerde been worden
gezet.
Erik van Straten
Voor de mensen die die site's tog bezoeken moeten eerst een hersel punt
maken.
En hoe moet dan ?
Nou het moet zo !(P.S deze is voor de windows XP)
1 Druk op start.
2 Dan zie je configuratiesherm druk daar op
3 Druk dan op prestaties en onderhoud
4 Dan moet je links kijken bij 'Zie ook'.
5 Druk dan op systeem herstel
6 dan kom je bij het programa druk dan op een systeemherstel punt
maken
Zo nu kun je dan de site bezoeken en als die dingen op je computer
komen moet je stap 1/5 doen maar als je bij het programa bent moet je
'Een eerdere status van deze computer herstelen'Aan vinken.
En voila alles is weg !
ik ben iemand van 13 en snap het wel dus je zou het ook moeten snapen
heá :P
bvermoeden dat men mij hiermee wil verleiden naar een
website die het wmf lek misbruikt.
===
From: Mike [mailto:bikermikesworld@yahoo.com]
Sent: Monday, January 02, 2006 12:10 PM
To: (weggelaten ivm privacy)
Subject: Mailform (weggelaten ivm privacy).erolog.nl: Hete
Barbie Griffin plaatjes
Beste beheerder van deze log,
Ik heb een url gevonden
van een echt lekkere babe (Barbie Griffin)
daarin staan zo'n 5 gallerijen met foto's van haar,
met een totaal van 75 foto's.
Misschien kun je hem gebruiken voor je log('s)
http://tienersex.pornwebring.net/barbie_griffin
Succes en groeten,
Mike.
Ik had dit lek 2 weken geleden al ontdekt op http://www.serials.ws
Toen heb ik ook windows 2000 opnieuw moeten installen omdat het
systeem niet hellemaal schoon te krijgen was.
NIET aanklikken de link http://www.serials.ws !!!!!!!!
ik heb er niet zo heel veel verstand van maar ken iemand me
vertellen hoe ik de microsoft waarschuwing ken verwijderen!
b.v.b bedankt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
