Microsoft waarschuwt voor Windows ANI zero-day
Ook Microsoft waarschuwt Windows gebruikers voor het gisteren ontdekte zero-day lek. Zelfs met een volledig gepatcht systeem is het bezoeken van een kwaadaardige website of openen van kwaadaardige e-mail voldoende om aanvallers de controle over het besturingssysteem te geven. Volgens de softwaregigant gaat het om "gerichte aanvallen", maar gisteren liet beveiliger McAfee nog weten dat er mogelijk verschillende varianten actief zijn die dezelfde exploit misbruiken. Geanimeerde cursors zijn plaatjes die de standaard muisaanwijzer in Windows vervangen.
Op geinfecteerde systemen wordt het bestand wincf.exe geplaatst. Zowel Windows 2000 SP4, Windows XP SP2, Server 2003 en Windows Vista zijn kwetsbaar. In het geval van Vista zorgt de exploit ervoor dat het systeem eindeloos blijft crashen en herstarten.
De geanimeerde cursors worden meestal gedownload als .ani bestanden, maar het blokkeren van het bestandstype is niet voldoende, zo waarschuwt het Internet Storm Center. De exploits die nu actief zijn misbruiken namelijk het lek door de .ani bestanden te hernoemen naar .jpg.
Volgens Microsoft zijn gebruikers van Internet Explorer 7 met Protection Mode beschermd tegen "active exploitation". Dit geldt echter niet voor Outlook. De malware is onder andere afkomstig van de volgende domeinen:
besturingsysteem overnemen? En hoe kan dat met Vista? Ik
dacht dat UAC zo perfect was dat er een harde security
boundary zou zijn.... valt me vies tegen van Microsoft, maar
is niet onverwacht.
you are protected as long are not forwarding or replying to
the attackers email.
Bizar, een cursor is een cursor maar kennelijk wordt deze
intern anders verwerkt bij het doorsturen. En UAC reageert
hier dus niet op!
* Regardless of if you are reading your mail in plain
text on Outlook Express you are not protected.
Als je iets niet toont en/of gebruikt, waarom dan door een
kwetsbare routine halen??
zou de sources van MS wel eens willen zien. Lijkt mij leuk
voor de DailyWTF.com
Op Yahoo answers staat een vraag over Exploit-ANIfile.
http://ca.answers.yahoo.com/question/index.php?qid=1006041708581
Deze post is 1 jaar oud!!!
Hier staat een post van aug. 2006
http://www.forospyware.com/archive/t-47889.html
Maar het probleem is gisteren ontdekt ?????
Maar het probleem is gisteren ontdekt ?????
Er zijn meerdere lekken in ANI bekend. Vorig jaar heeft Microsoft al eens
een patch uitgebracht.
lijst van domeinen waar het ANI-lek actief verspreid wordt.
Wie deze wil blokkeren kan dat o.a. doen door de
onderstaande lijst in de HOST-file te plakken en op te slaan.
De www-aanduiding in de lijst heb ik moeten weglaten, anders
krijgt men via deze site een werkzame link. Verwezen wordt daarom
naar SANS of de website van Webwereld:
http://www.webwereld.nl/comments/45732/microsoft-waarschuwt-voor-kritiek-lek-in-windows.html#comment_92750
127.0.0.1 33577 .cn
127.0.0.1 ym52099.512j .com
127.0.0.1 1.520sb .cn
127.0.0.1 newasp.com .cn
127.0.0.1 koreacms .co.kr
127.0.0.1 i5460 .net
127.0.0.1 04080 .com
127.0.0.1 h3210 .com
127.0.0.1 220.71.76.189
127.0.0.1 222.73.220.45
127.0.0.1 55880.cn
127.0.0.1 81.177.26.26
127.0.0.1 85.255.113.4
127.0.0.1 bc0.cn
127.0.0.1 client.alexa.com
127.0.0.1 count12.51yes.com
127.0.0.1 count3.51yes.com
127.0.0.1 d.77276.com
127.0.0.1 fdghewrtewrtyrew.biz
127.0.0.1 i5460.net
127.0.0.1 jdnx.movie721.cn
127.0.0.1 newasp.com.cn
127.0.0.1 s103.cnzz.com
127.0.0.1 s113.cnzz.com
127.0.0.1 ttr.vod3369.cn
127.0.0.1 uniq-soft.com
127.0.0.1 wsfgfdgrtyhgfd.net
127.0.0.1 ym52099.512j.com
Op de website van het SANS-instituut staat nu een langere
lijst van domeinen waar het ANI-lek actief verspreid wordt.
Wie deze wil blokkeren kan dat o.a. doen door de
onderstaande lijst in de HOST-file te plakken en op te slaan.
De www-aanduiding in de lijst heb ik moeten weglaten, anders
krijgt men via deze site een werkzame link. Verwezen wordt
daarom
naar SANS of de website van Webwereld:
http://www.webwereld.nl/comments/45732/microsoft-waarschuwt-voor-kritiek-lek-in-windows.html#comment_92750
127.0.0.1 33577 .cn
127.0.0.1 ym52099.512j .com
127.0.0.1 1.520sb .cn
127.0.0.1 newasp.com .cn
127.0.0.1 koreacms .co.kr
127.0.0.1 i5460 .net
127.0.0.1 04080 .com
127.0.0.1 h3210 .com
127.0.0.1 220.71.76.189
127.0.0.1 222.73.220.45
127.0.0.1 55880.cn
127.0.0.1 81.177.26.26
127.0.0.1 85.255.113.4
127.0.0.1 bc0.cn
127.0.0.1 client.alexa.com
127.0.0.1 count12.51yes.com
127.0.0.1 count3.51yes.com
127.0.0.1 d.77276.com
127.0.0.1 fdghewrtewrtyrew.biz
127.0.0.1 i5460.net
127.0.0.1 jdnx.movie721.cn
127.0.0.1 newasp.com.cn
127.0.0.1 s103.cnzz.com
127.0.0.1 s113.cnzz.com
127.0.0.1 ttr.vod3369.cn
127.0.0.1 uniq-soft.com
127.0.0.1 wsfgfdgrtyhgfd.net
127.0.0.1 ym52099.512j.com
Dus na deze lijst komt een nieuwe lijst en dan nog een...
En dan loopt je systeem vol.
Dus dit soort oplossingen zijn maar tijdelijk.
Dus dit soort oplossingen zijn maar tijdelijk.
Je kan ook ff een squid-acl aanmaken natuurlijk:
acl noanifiles urlpath_regex .ani$
http_access deny noanifiles
oid. Om deze draad vooral maar informatief te houden.
Tis niet de eerste keer dat MS troubles heeft met .ani dus
dit lijkt me een permanentje ;-)
Je kan het nog mooier maken met een foute melding eromheen
(deny_info) of (ook altijd heel zinvol in een cross-platform
omgeving) alleen alle windows-clients (die je dus sowieso
een aparte adrespool geeft) specifiek die groep de toegang
ontzegt.
En nee: ik ben niet eens een a-typische kantoorautomatiseerder.
Cheers
Op de website van het SANS-instituut staat nu een langere lijst van domeinen waar het ANI-lek actief verspreid wordt.
Wie deze wil blokkeren kan dat o.a. doen door de onderstaande lijst in de HOST-file te plakken en op te slaan.
127.0.0.1 220.71.76.189
127.0.0.1 222.73.220.45
127.0.0.1 81.177.26.26
127.0.0.1 85.255.113.4
Dus dit soort oplossingen zijn maar tijdelijk.
oplossing zou zijn voor alle problemen. Het is een
(beperkte) mogelijkheid (helaas). En dit komt inderdaad
doordat de hoeveelheid kwaadaardige sites alleen maar
aan het toenemen is. Het zijn er nu zoveel, dat het ondoenlijk
wordt alles in een host bestand op te nemen.
Wat de IP-adressen betreft heb ik dat pas wat te laat in de
gaten gekregen. Het viel mij op dat tussen de
domeinnamen ook wat IP-adressen stonden.
Die IP-adressen moeten dus uit de host-file worden gehaald en kunnen
het beste voorlopig in de Firewall worden geblokt.
Nou ik heb ook niet gezegd dat een Blocking list de oplossing zou zijn voor alle problemen. Het is een (beperkte) mogelijkheid (helaas). En dit komt inderdaad doordat de hoeveelheid kwaadaardige sites alleen maar aan het toenemen is. Het zijn er nu zoveel, dat het ondoenlijk wordt alles in een host bestand op te nemen.
Het probleem is echter dat als een malware verspreider slechts 1 host (ik bedoel 1 IP-adres) 'pwned', hij daar zoveel hostnames voor kan aanvragen als hij wil (kijk maar eens rond op [url=http://www.registeredon.com/]deze site[/url] om een idee te krijgen). Vermenigvuldig dat met het aantal kraakbare sites; zie bijv. [url=http://www.security.nl/article/15726/1/Meeste_Engelse_websites_te_hacken.html]deze page[/url] met als titel 'Meeste Engelse websites te hacken'. Blokkeren kan helpen maar andere maatregelen zijn vaak effectiever.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
