Nieuws
image

Hackers misbruiken nieuw lek in Microsoft Word *update*

zaterdag 22 maart 2008, 11:11 door Redactie, 10 reacties

Microsoft heeft een waarschuwing afgegeven omdat hackers een nieuw beveiligingslek in Word actief gebruiken om toegang tot vertrouwelijke systemen en informatie te krijgen. De aanvallers zouden de exploit, die misbruik maakt van een nog onbekende kwetsbaarheid in de Microsoft Jet Database Engine, bij gerichte aanvallen hebben ingezet. Gebruikers van Microsoft Word 2000 SP3, Word 2002 SP3, Word 2003 SP2/SP3, Word 2007 (SP1) op Windows 2000, XP en Server 2003 SP1 lopen risico als zij een Word bestand openen.

Gebruikers van Windows Server 2003 SP2 2 en Windows Vista (SP1) zijn niet kwetsbaar, omdat deze besturingssystemen een andere versie van de Microsoft Jet Database Engine gebruiken. Volgens McAfee betekent dit dat Microsoft mogelijk stilletjes het lek in deze besturingssystemen heeft gedicht. De softwaregigant heeft de kwetsbaarheid in onderzoek en kan afhankelijk van de resultaten en omvang van de aanvallen, besluiten om buiten haar maandelijkse patchcyclus een update uit te brengen.

Het lek is aanwezig in het bestand Msjet40.dll met versienummers lager dan 4.0.9505.0. Voorlopig adviseert Microsoft om met verminderde rechten te draaien, omdat dit de gevolgen van de aanval beperkt. Daarnaast is het verstandig om geen ongevraagde bijlagen te openen, maar dat blijkt bij gerichte aanvallen juist vaak een probleem. Amerikaanse gebruikers die denken via deze aanval gehackt te zijn, wordt geadviseerd contact met de FBI op te nemen.

Excel gebruikers opgelet

Tevens doen Office gebruikers die de update MS08-014 nog niet hebben geïnstalleerd aangeraden dit zo spoedig mogelijk te doen, aangezien er een exploit publiekelijk is gemaakt die aanvallers volledige toegang tot kwetsbare systemen kan geven. De Microsoft update zorgde in eerste instantie in bepaalde gevallen voor rekenfoutjes, maar inmiddels is er een nieuwe versie van de patch verschenen.

Update 19:00
De kwetsbaarheid is waarschijnlijk zo ernstig dat Microsoft personeel ook tijdens de Paasdagen moet doorwerken aan een patch.

Reacties (10)
22-03-2008, 12:03 door Anoniem
Gaat het over Word of Excel (zie link versie)
22-03-2008, 13:40 door Anoniem
Bij Vista heb ik een hoger serienummer voor de betreffende
DLL (4.0.9635.0) gevonden op mijn PC. De computer zou dus
- volgens opgave van het SANS - niet kwetsbaar moeten zijn.

De allernieuwste Excell patch is overigens te downloaden via
de update functie.
22-03-2008, 13:43 door Anoniem
Door Anoniem
Gaat het over Word of Excel (zie link versie)

Je moet beiden dichtgooien.
23-03-2008, 02:48 door spatieman
helemaal geen M$ office gebruiken !!
23-03-2008, 22:13 door Anoniem
Dit is een targeted attack, ben je geen doelwit, dan zul je het waarschijnlijk
nooit zien.

Voor de meesten onder ons ontstaat er pas een real-life risico wanneer
Microsoft een patch vrijgeeft.
24-03-2008, 01:29 door Bitwiper
Ter verduidelijking: voor het Excel lek is er een patch (MS08-014).

Het andere lek is veel erger, want het betreft niet alleen Word en er is nog geen patch voor. De reden dat Microsoft in haar advisory Word noemt is waarschijnlijk dat er exploits in omloop zijn die van Word gebruik maken. De kwetsbare DLL wordt echter door meerdere programma's (ook van anderen dan Microsoft) gebruikt en staat ook op je systeem als je geen Office hebt geïnstalleerd. Een geprepareerde MSN of email bijlage genaamd plaatje.jpg.mdb openen volstaat om je systeem te compromitteren.

Het trieste is dat het waarschijnlijk om één van de lekken gaat die al bijna 3 jaar bekend zijn, zie [url=http://www.hexview.com/docs/20050331-1.txt]deze publicatie[/url] van 'hexview' met onder meer:
HexView noticed multiple occurrences where file data was not validated or improperly validated leading to system crashes, null pointer memory access conditions, and arbitrary code execution. This advisory is focused on just one vulnerability that we confirmed to be exploitable.
Zie ook [url=http://www.kb.cert.org/vuls/id/176380]deze writeup[/url] van US-CERT. Uit de hexview publicatie en de [url=http://secunia.com/advisories/14896/]writeup van Secunia[/url] blijkt duidelijk dat msjet40.dll versie 4.00.8618.0 kwetsbaar is. Die versie staat standaard op elk volledig gepatched XP SP2 systeem (bij andere systemen kan deze middels MS04-014 zijn geïnstalleerd). In augustus 2006 heeft Juha-Matti Laurio nog eens [url=http://seclists.org/bugtraq/2006/Aug/0118.html]aandacht gevraagd[/url] voor dit probleem.

Op [url=http://support.microsoft.com/kb/239114]deze MS pagina over versies van de MS Jet 4.0 database engine[/url] kun je lezen dat alleen W2K3 SP2 en Vista safe zijn.
24-03-2008, 14:31 door Anoniem
Bitwiper, je beweert dat de lek in de Word aanval dezelfde lek is als eerder
bekende lekken, waar is dat op gebaseerd?

De lek die HexView beschreven heeft in "20050331-1.txt"
onder "demonstration" is niet de lek die gebruikt is in de aanval.
24-03-2008, 22:48 door Bitwiper
Door Anoniem
Bitwiper, je beweert dat de lek in de Word aanval dezelfde lek is als eerder bekende lekken, waar is dat op gebaseerd?
Microsoft schrijft [url=http://www.microsoft.com/technet/security/advisory/950627.mspx]hier[/url] onder meer:
Customers running Windows Server 2003 Service Pack 2, Windows Vista, and Windows Vista Service Pack 1 are not vulnerable to the buffer overrun being attacked, as they include a version of the Microsoft Jet Database Engine that is not vulnerable to this issue.
Ik weet niet 100% zeker dat het om één van de lekken gaat die al bijna 3 jaar bekend zijn (ik schreef dan ook 'waarschijnlijk' in mijn eerdere bijdrage) maar de kans is m.i. wel groot. Het gebruik van een Word bijlage als primair transportmiddel zoals door McAfee [url=http://www.avertlabs.com/research/blog/index.php/2008/03/21/microsoft-jet-database-engine-attacked-through-word/]hier[/url] beschreven is wel nieuw. Vaak als er één zo'n transporttruuk gevonden wordt, volgen er meer.
Door Anoniem
De lek die HexView beschreven heeft in "20050331-1.txt" onder "demonstration" is niet de lek die gebruikt is in de aanval.
Ah, daaruit maak ik op dat jij wel exact weet welke exploit gebruikt is, dat horen we hier graag!
25-03-2008, 21:56 door Bitwiper
Voor de volledigheid, Microsoft bevestigt [url=http://blogs.technet.com/msrc/archive/2008/03/24/update-msrc-blog-microsoft-security-advisory-950627.aspx]hier[/url] dat het om een 'similar vulnerability in msjet40.dll' gaat als Hexview in maart 2005 publiceerde.
25-03-2008, 23:14 door Anoniem
@Bitwiper
De PoC van cocoruder lijkt inderdaad op de mdb exploit file, maar de exploit
(door McAfee gemeldt), is niet gebaseerd op de PoC file van cocoruder.

De HexView exploit is anders, dat kun je zelf ook wel zien als je de twee
vergelijkt.

Voor de duidelijkheid: de Word file is geen transportmiddel voor de mdb, het
zijn twee bestanden.

Aangezien er talloze problemen te vinden zijn in Office bestanden, kun je niet
zomaar zeggen dat de lek wel dezelfde zal zijn als eerder bekend was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search