Waarschuwing: nieuw Windows JPG-lek actief misbruikt
Het beveiligingslek in het Windows (GDI) component dat Microsoft afgelopen dinsdag dichtte wordt op dit moment actief misbruikt door hackers om systemen te infecteren. Eind 2005 werd een soortgelijke kwetsbaarheid ontdekt, die toen op een gigantische schaal werd ingezet. Door het openen van een kwaadaardige EMF of WMF afbeelding krijgt een aanvaller volledige controle over het systeem. Doordat de afbeeldingen in websites zijn te embedden, volstaat het openen van de verkeerde pagina om geïnfecteerd te raken.
Symantec ontdekte de exploit die via het bestand top.jpg wordt aangeboden. Op kwetsbare systemen laadt de exploit het bestand word.gif, dat in werkelijkheid een uitvoerbaar bestand is dat weer een Trojaans paard downloadt. De exploit zou volgens de beveiliger nog niet helemaal naar behoren werken. Dit zou kunnen betekenen dat de exploits gelekt zijn of nog verder ontwikkeld worden. De laatste optie is dat het wel om een werkende exploit gaat, maar waarvan nog niet bekend is op welk platform die werkt. Het Trojaanse paard dat de exploit probeert te downloaden is inmiddels wel achterhaald.
De beveiliger waarschuwt dat het beveiligingslek een zeer ernstig beveiligingsrisico vormt en gebruikers wordt dringend aangeraden de Windows patch te installeren. Zowel Windows 2000, XP, Vista, Server 2003 en 2008 zijn kwetsbaar. Systeembeheerders wordt geadviseerd om de volgende domeinen / IP-adressen te blokkeren: 211.239.126.10 (igloofamily.com) 59.124.92.168 (amrc.com.tw) en ad.goog1e.googlepages.com.
Overigens ben ik het niet eens met de classificatie dat het om een remote code execution zou gaan. Je moet namelijk eerst een bestand downloaden (op welke manier dan ook) en vervolgens, als het bestand lokaal staat, bekijken. Ergo, een local exploit.
Bij een "echte" remote code execution denk ik eerder aan exploits zoals diegene die door blaster of slammer misbruikt werden.
Met de rechten van de ingelogde gebruiker...
gebruikers zijn... (pre Vista, that is)
vinden wat ik zou moeten downloaden en installeren. Is er iemand die een
goeie link heeft?
Met de rechten van de ingelogde gebruiker...
gebruikers zijn... (pre Vista, that is)
Met de rechten van de ingelogde gebruiker...
gebruikers zijn... (pre Vista, that is)
Helaas....ook bij bedrijven kom je dat nog steeds tegen...
classificatie 'remote' wel terecht.
In het geval van IE moet ik eerst iemand zover krijgen om m'n website te bekijken.. IE download het plaatje en laat dat zien (waardoor de exploit actief wordt). Of ik stuur een e-mail die jij eerst moet downloaden om te kunnen zien.. Hoe je het wendt of keert je zult eerst het plaatje op een machine moeten krijgen om vervolgens dat plaatje te presenteren (waardoor de exploit geactiveerd wordt).
> host 211.239.126.10:
10.126.239.211.in-addr.arpa domain name pointer
nt4.hostwide.net.
> host 59.124.92.168:
168.92.124.59.in-addr.arpa domain name pointer
59-124-92-168.HINET-IP.hinet.net.
> date: Fri Apr 11 14:29:53 CEST 2008
Ook; host ad.goog1e.googlepages.com:
ad.goog1e.googlepages.com is an alias for
googlepages.l.google.com.
googlepages.l.google.com has address 74.125.47.118
!?!
classificatie 'remote' wel terecht.
pas te kunnen laten zien. Remote is wanneer ik iets op jou afvuur en
daarmee je machine kraak zonder dat jij daar iets voor hoeft te doen (behalve
online zijn).
In het geval van IE moet ik eerst iemand zover krijgen om m'n website te
bekijken.. IE download het plaatje en laat dat zien (waardoor de exploit actief
wordt). Of ik stuur een e-mail die jij eerst moet downloaden om te kunnen
zien.. Hoe je het wendt of keert je zult eerst het plaatje op een machine
moeten krijgen om vervolgens dat plaatje te presenteren (waardoor de
exploit geactiveerd wordt).
Tegenwoordig is de classificatie van 'remote' wanneer de aanvaller zich niet
op het lokale systeem bevind. Hoewel dit onder de 'remote with user
interaction' valt, maar remote blijft het.
Met de rechten van de ingelogde gebruiker...
gebruikers zijn... (pre Vista, that is)
Dacht het toch niet. Ik ben niet ingelogd als Admin.
maken :P
en idd je kan commando's uitvoeren op je slachtoffers pc's.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
