image

"Nieuwe IE is 7e hemel voor spywareverspreiders"

vrijdag 3 november 2006, 12:00 door Redactie, 16 reacties

Microsoft heeft in Internet Explorer 7 allerlei beveiligingsmaatregelen doorgevoerd, zoals "ActiveX opt-in", "add-on management", "phishing filter" en nog meer. Ondanks al deze verbeteringen is Internet Explorer nog steeds hemels voor spyware schrijvers, zo waarschuwt de Israelische beveiligingsonderzoeker Aviv Raff.

De nieuwe Microsoft browser is namelijk kwestbaar voor DLL-load hijacking. Als IE7 wordt gestart laadt het verschillende DLL bestanden. Bij het laden van sommige bestanden wordt niet het volledige pad van het DLL bestand gegeven, waardoor Windows dit bestand op de computer van de gebruiker zoekt.

Vandaag de dag herkennen de meeste beveiligingsoplossingen aanpassingen van de start map en registrer sleutels, om zo te voorkomen dat malware tijdens het starten van de machine geladen wordt.

Om deze detectie te omzeilen hoeft een aanvaller alleen een kwaadaardig DLL bestand in een van de PATCH directories te plaatsen, zoals bijvoorbeeld op het bureaublad. De volgende keer dat de gebruiker IE7 start, draait de browser de code van de aanvaller, in plaats van het originele DLL bestand. Een aanvaller kan het DLL bestand verbergen waardoor gebruikers die niet op hun desktop zien, aangezien de meeste mensen niet hebben ingesteld dat verborgen bestanden getoond worden.

Volgens Microsoft maakt het niet zoveel uit, als een aanvaller namelijk een DLL op de machine kan plaatsen, dan heeft die toch al controle over het systeem. Volgens Raff is dit waar, maar kan het lek er toch voor zorgen dat spyware schrijver automatisch code kunnen uitvoeren, ook al is er beveiligingssoftware geinstalleerd.

Reacties (16)
03-11-2006, 12:31 door Damiaen
Het bureaublad staat niet default in de PATH variabele.

Ziehier een stukje antwoord van Roger A. Grimes op Full-Disclosure:

"The PATH environment variable doesn't include the user's desktop by
default. There is a close tie-in between Explorer.exe and Iexplore.exe
involving the desktop, and there are tricks you can play to get desktop
items to execute instead of IE stuff, but the PATH statement itself doesn't
include the desktop by default.

So, if you're statement is accurate that malware would need to be placed
in a directory identified by the PATH statement, we can relax because that
would require Administrator access to pull off. Admin access would be
needed to modify the PATH statement appropriately to include the user's
desktop or some other new user writable location or Admin access would
be needed to copy a file into the locations indicated by the default PATH
statement."
03-11-2006, 12:32 door SirDice
Om deze detectie te omzeilen hoeft een aanvaller alleen een kwaadaardig DLL bestand in een van de PATCH directories te plaatsen,
Moet dat niet PATH zijn?

Het bureaublad staat niet default in de PATH variabele.
Klopt.. Current working directory echter wel.. En dat zou dus de desktop kunnen zijn..
03-11-2006, 13:06 door Anoniem
Dat automatisch zoeken kon toch uitgezet worden?

Net zoals die ellende met die ghosted links, toen met w98?
03-11-2006, 13:14 door mrhawkeye
Daarnaast wordt natuurlijk

1) het kwetsbaarheidsvenster aanzienlijk vergroot door al die open sites
met die grouped tabs en quick tabs techniek. Zodra iedereen die quick
tabs en grouped tabs ontdekt...gaat iedereen er gebruik van maken. Er
worden dan automatisch veel meer sites geconnected en bekeken. Je
gaat ze verzamelen en hoppa alles in een keer open en je wordt steeds
luier.

2) Rss Feeds XML en automatically download attached documents?
PARDON????


Aan de ene kant maken ze het dicht en aan de achterkant creeeren ze weer
extra problemen.
03-11-2006, 13:38 door Anoniem
Wie bij versie 6 nog niet door heeft dat Internet Explorer
gewoon een slecht ontworpen product is, die *verdient*
versie 7, met alle problemen van dien.
03-11-2006, 14:19 door Anoniem
Door Anoniem
Wie bij versie 6 nog niet door heeft dat Internet Explorer
gewoon een slecht ontworpen product is, die *verdient*
versie 7, met alle problemen van dien.

De wereld is veel mooier NA sesamstraat hoor, heb je vast iets om naar uit
te kijken.
03-11-2006, 14:19 door Anoniem
Het valt me op dat grotere bedrijven en overheden nog geen
compartimentalisatie toepassen om kwetsbaarheden te managen.
Kan met OS en browsers....
03-11-2006, 14:39 door G-Force
Ik begrijp even iets niet. Moeten systeembestanden niet
digitaal ondertekend zijn? Of wordt een kwaadaardige DLL
gewoon uitgevoerd, zonder dat de digitale handtekening wordt
gecontroleerd? Ben benieuwd naar een reactie in deze.
03-11-2006, 15:04 door SirDice
Of wordt een kwaadaardige DLL gewoon uitgevoerd, zonder dat de digitale handtekening wordt gecontroleerd? Ben benieuwd naar een reactie in deze.
Volgens mij worden alleen drivers van een handtekening voorzien (ook niet altijd maar dan krijg je een melding als je ze installeert). DLL's niet altijd. Je kan tenslotte zelf een programma met DLL's maken. Deze DLL's hoeven niet ondertekend te worden.
03-11-2006, 18:38 door Anoniem
De nieuwe Microsoft browser is namelijk kwestbaar
voor DLL-load hijacking. Als IE7 wordt gestart laadt het
verschillende DLL bestanden. Bij het laden van sommige
bestanden wordt niet het volledige pad van het DLL bestand
gegeven, waardoor Windows dit bestand op de computer van de
gebruiker zoekt.
Volgens mij moet je dit eigenlijk omgekeerd lezen: als je
wel het volledig pad opgeeft bij het laden van dll's, dan
kan je zorgen dat malafide dll's geladen worden terwijl
Windows anders z'n eigen (hopelijk) legitieme dll's
gebruikt. En juist in het mogelijk kunnne laden van malafide
dll's, schuilt denk ik het gevaar.
03-11-2006, 20:34 door Anoniem
Door Anoniem
Wie bij versie 6 nog niet door heeft dat Internet Explorer
gewoon een slecht ontworpen product is, die *verdient*
versie 7, met alle problemen van dien.

Hahaha...wat een wijsheid van deze Anoniem. ROFLOL.
04-11-2006, 08:07 door Mars2
Internet Explorer ??? Bestaat dat nog steeds en wat was t
ook alweer....... Oh ja, die brakke browser van
Mickey$oft.......
Ik gebruik al jaren FireFox, nooit problemen mee.
04-11-2006, 14:14 door Anoniem
Dat iedereen hier nou net een ander Product gebruiken,dan van
onkel Bill,zit natuurlijk wel in deze Site ingebakken.
Immers allemaal weten ze hier van de hoed en de rand.
Dus MS is out en Linux is in, plus FF .
Maar de consument heeft hier geen weet van,want dat gaat anders
bij een aankoop.Zoiets van ,He Piet kijk eens een PC in de reclame
met XPHome er op en ook nog een virus programma voor maar €499.
Zo gaat dat meestal,en daarom zal Billie Boy stinkend rijk blijven.
Maar als er problemen komen,dan komen ze naar hier.
Want als MS je moet helpen,dan kan je lang bellen.
Plus als er telefonish iets gezegd wordt,snappen ze het niet.
Dus zolang MS bestaat moet Dit Forum op de hoogte blijven van
alles uit de keuken van Microsoft.
Op een andere Site was iemand die Windows 2000 Pro met
verve verdedigde als de meest stabiele programma"s van Windows.
Tja je zal maar tevreden zijn,dan is het simpel.
04-11-2006, 16:43 door Anoniem
Dus MS is out en Linux is in, plus FF . Maar de
consument heeft hier geen weet van
Firefox wordt in elk geval genoemd in de Consumentengids.
Die zeggen zelfs dat FF veiliger is. Denk dat het publiek
langzaamaan Firefox-bewust aan het worden is. Als dat
zegmaar een trend is, dan zie ik het aandeel Opera ook nog
wel stijgen.
06-11-2006, 10:08 door SirDice
Door Anoniem
De nieuwe Microsoft browser is namelijk kwestbaar voor DLL-load hijacking. Als IE7 wordt gestart laadt het verschillende DLL bestanden. Bij het laden van sommige bestanden wordt niet het volledige pad van het DLL bestand gegeven, waardoor Windows dit bestand op de computer van de gebruiker zoekt.
Volgens mij moet je dit eigenlijk omgekeerd lezen: als je wel het volledig pad opgeeft bij het laden van dll's, dan kan je zorgen dat malafide dll's geladen worden terwijl Windows anders z'n eigen (hopelijk) legitieme dll's gebruikt. En juist in het mogelijk kunnne laden van malafide dll's, schuilt denk ik het gevaar.
Nee... Als je een volledig pad opgeeft c:windowssystem32zomaar.dll weet je zeker dat de zomaar.dll uit de windows system32 directory geladen wordt.
Normale gebruikers kunnen daar niet schrijven dus de kans is groot dat het de juiste dll is. Indien er zomaar.dll, dus zonder pad, dan wordt het PATH afgelopen. Hier kunnen directories tussen zitten waar een normale gebruiker wel schrijfrechten toe heeft. Zo kun je dus zomaar.dll vervangen voor een malafide exemplaar.
06-11-2006, 10:34 door Anoniem
Nee... Als je een volledig pad opgeeft
c:windowssystem32zomaar.dll weet je zeker dat de
zomaar.dll uit de windows system32 directory geladen
wordt.
Bij het opgeven van een volledig pad kan je inderdaad
verwijzen naar c:windowssystem32zomaar.dll, wat op
hetzelfde neer zou komen als het niet opgeven van een pad,
waardoor Windows het (uiteindelijk) zoekt in die
system32-map. Maar als je een ander pad opgeeft, naar
bijvoorbeeld het bureaublad van de gebruiker, dan kan je dus
verkeerde dll's laten laden met alle gevolgen vandien.
Dat is in elk geval hoe ik dit lees: 'deze detectie te
omzeilen hoeft een aanvaller alleen een kwaadaardig DLL
bestand in een van de PATCH directories te plaatsen, zoals
bijvoorbeeld op het bureaublad'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.