Archief
- De topics van lang geleden
UPDATE IE-exploit !
Het Internet Storm Centrum (ISC) heeft status [color=green]GROEN[/color] afgekondigd. Niet dat het probleem van 3 ernstige exploits in Internet Explorer 6 verdwenen zou zijn, verre van dat. Helaas zijn er al websites opgedoken die de createTextRange-exploit misbruiken door er een nieuwe Spybot-variant op het kwetsbare systeem te plaatsen. IE-verslaafden kunnen het beste tijdelijk overstappen op Firefox. Diegenen die IE verlaten hebben kunnen de andere browsers zonder risico en gevaar gebruiken. De laatste Firefox browser blijkt niet kwetsbaar te zijn voor dit lek. [url=http://www.mozilla.com/]Firefox is vanaf deze pagina te downloaden.[/url] Een domeinnaam of IP-adres (voor Firewall-blokkade) wordt helaas niet gegeven door het ISC. Gebruikers van IE dienen hun Active Scripting uit te zetten of de schuifwaarden van de Internet Zone, de INTRANET Zone op HIGH of HOOG te zetten. Verder blijken er geruchten de ronde te doen, dat de werkende exploits ook van z.g. Crack-sites afkomstig zouden zijn. Aangeraden wordt om dit soort sites niet te bezoeken.
Het ISC heeft de DEP-methode en de Drop My Rights-methode toegepast , maar de exploit blijkt dan nog steeds te werken. De enige manier om de exploit onwerkzaam te maken is het [color=red]uitzetten van Active Scripting.[/color]
Dit doet men als volgt:
1.Start Internet Explorer;
2.Kies in het menu "Extra" voor de optie "Internet Opties";
3.In het scherm dat verschijnt klikt u op het tabblad "Beveiliging";
4.Zorg dat in het tabblad dat verschijnt de zone "Het Internet" geselecteerd is;
5.Klik op "Aangepast niveau";
6.U komt in het scherm "Beveiligingsinstellingen". Zoek in dit scherm de instelling "Actief uitvoeren van scripts" op (bijna onderin de lijst). Selecteer voor deze instelling de waarde "Uitschakelen";
7.Klik op "OK";
8.U krijgt de waarschuwing "Weet u zeker dat u de beveiligingsinstellingen voor deze zone wilt wijzigen?". Klik op "Ja" om de wijziging te accepteren;
9.Klik opnieuw op "OK" om het scherm "Internet opties" weer te sluiten.
Hieronder de Handlers Diary op de website van het SANS.
=============================================
Update: At the urging of Handler Extraordinaire Kyle Haugsness, I tested
the sploit on a box with software-based DEP and DropMyRights... here are
the results:
Software-based DEP protecting core Windows programs: sploit worked
Software-based DEP protecting all programs: sploit worked
DropMyRights, config'ed to allow IE to run (weakest form of DropMyRights
protection): sploit worked
Active Scripting Disabled: sploit failed
So, go with the last one, if you are concerned. By the way, you should be
concerned.
--Ed Skoudis
Intelguardians.
Previous Update: We just received a report that a particular site uses
the "createTextRange" vulnerability to install a spybot variant. It is a minor
site with insignificant visitor numbers according to Netcraft's "Site rank".
The Bleedingsnort rule has been updated. It has been tested against that
particular version of the exploit and works for it. For details, see this set of
rules (last one is the 'createTextRange' rule).
Het ISC heeft de DEP-methode en de Drop My Rights-methode toegepast , maar de exploit blijkt dan nog steeds te werken. De enige manier om de exploit onwerkzaam te maken is het [color=red]uitzetten van Active Scripting.[/color]
Dit doet men als volgt:
1.Start Internet Explorer;
2.Kies in het menu "Extra" voor de optie "Internet Opties";
3.In het scherm dat verschijnt klikt u op het tabblad "Beveiliging";
4.Zorg dat in het tabblad dat verschijnt de zone "Het Internet" geselecteerd is;
5.Klik op "Aangepast niveau";
6.U komt in het scherm "Beveiligingsinstellingen". Zoek in dit scherm de instelling "Actief uitvoeren van scripts" op (bijna onderin de lijst). Selecteer voor deze instelling de waarde "Uitschakelen";
7.Klik op "OK";
8.U krijgt de waarschuwing "Weet u zeker dat u de beveiligingsinstellingen voor deze zone wilt wijzigen?". Klik op "Ja" om de wijziging te accepteren;
9.Klik opnieuw op "OK" om het scherm "Internet opties" weer te sluiten.
Hieronder de Handlers Diary op de website van het SANS.
=============================================
Update: At the urging of Handler Extraordinaire Kyle Haugsness, I tested
the sploit on a box with software-based DEP and DropMyRights... here are
the results:
Software-based DEP protecting core Windows programs: sploit worked
Software-based DEP protecting all programs: sploit worked
DropMyRights, config'ed to allow IE to run (weakest form of DropMyRights
protection): sploit worked
Active Scripting Disabled: sploit failed
So, go with the last one, if you are concerned. By the way, you should be
concerned.
--Ed Skoudis
Intelguardians.
Previous Update: We just received a report that a particular site uses
the "createTextRange" vulnerability to install a spybot variant. It is a minor
site with insignificant visitor numbers according to Netcraft's "Site rank".
The Bleedingsnort rule has been updated. It has been tested against that
particular version of the exploit and works for it. For details, see this set of
rules (last one is the 'createTextRange' rule).
Reacties (3)
26-03-2006, 13:07 door
G-Force
**UPDATE 26 maart 2006 om 19:57 uur**
Het ISC heeft op zijn website bekend gemaakt, dat er een IP-adres is
gevonden waarbij malware (via de Create Text Range Exploit) de
gestolen informatie van de computergebruiker naar een FTP-server in Rusland upload. Het IP-adres van deze FTP-server is : 66.242.129.251
Het is nog maar de vraag of dit het enige IP-adres is, aangezien in de
logbestanden van pakket-sniffers andere IP-adressen zijn gevonden. (Het ISC heeft inmiddels Network Associates gewaarschuwd en deze heeft op zijn website inmiddels (zondag 26/3/2006) een tweede IP-adres bekendgemaakt dat door Firewall bezitters ook moet worden geblokkeerd.)
[color=red]De IP-adressen die geblokkeerd moeten worden zijn:
IP: 200.182.57.13
IP: 66.242.129.251[/color]
De ontdekte malware installeert een DLL-bestand dat gebruikt wordt als een BHO (Browser Helper Object). Wie SpywareBlaster gebruikt kan via Tools en Custom Blocking deze BSO in het Systeem Register (CLSID) van Windows blokkeren. Deze sleutels zijn:
[color=red]{B4B1D862-DD79-47E6-B29B-2AD5A9A5D885}
{FBFD2ED1-14EA-4D3A-B88E-DADF7C058766} [/color]
De malware maakt gebruik van de onderstande Register sleutels:
HKEY_CLASSES_ROOTCLSID{B4B1D862-DD79-47E6-B29B-2AD5A9A5D885}
HKEY_CLASSES_ROOTCLSID{FBFD2ED1-14EA-4D3A-B88E-DADF7C058766}
Het voordeel van SpywareBlaster is het feit dat het programma niet op de achtergrond hoeft te werken, zoals virusscanners en sommige spywarescanners dit wel doen.
Wie CounterSpy of Windows Defender gebruikt wordt gewaarschuwd door de Resident Shield als er een nieuwe BHO wordt ontdekt. Onbekende BHO's dienen standaard geblokkeerd te worden.
Symantec heeft vandaag de heuristische detectie bijgewerkt om deze
exploit via de virusscanner te kunnen ontdekken: [color=blue]Bloodhound.Exploit.61[/color]. Er is bij mij weten nog geen informatie beschikbaar of de aanvalshandtekeningen voor Norton Internet Security zijn bijgewerkt. Op 23 maart was de laatste update voor de Firewall. Voor andere producten wordt verwezen naar de websites van de betreffende Firewall-aanbieders.
De virusdefinities voor Norton Antivirus zijn bijgewerkt tot en met 25 maart 2006. Wie producten heeft van 2005 en daarvoor dient via Intelligent Updater van Symantec de laatste virusdefinities op te halen om het virus PWsteal.PartyPooper te kunnen detecteren.
Verschillende websites blijken nu de exploit-code te bevatten die na een
bezoek via de ongepatchte IE geactiveerd kunnen worden. De gebruikers
moeten daarom extra op hun hoede zijn als Internet Explorer wordt
gebruikt. Beter is het om de laatste versie van Firefox te gebruiken.
Links Symantec:
http://securityresponse.symantec.com/
http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.61.html
Link Internet Storm Centrum:
http://isc.sans.org/diary.php?storyid=1221
Link McAfee:
http://vil.nai.com/vil/content/v_139049.htm
Downloaden van (Freeware) SpywareBlaster 3.5.1
http://www.javacoolsoftware.com/spywareblaster.html
Downloaden van (Freeware) Windows Defender (alleen voor XP SP2)
http://www.microsoft.com/athome/security/spyware/software/default.mspx
Downloaden van CounterSpy (shareware) ook voor XP SP1.
http://www.sunbelt-software.com/CounterSpy-Download.cfm
Het ISC heeft op zijn website bekend gemaakt, dat er een IP-adres is
gevonden waarbij malware (via de Create Text Range Exploit) de
gestolen informatie van de computergebruiker naar een FTP-server in Rusland upload. Het IP-adres van deze FTP-server is : 66.242.129.251
Het is nog maar de vraag of dit het enige IP-adres is, aangezien in de
logbestanden van pakket-sniffers andere IP-adressen zijn gevonden. (Het ISC heeft inmiddels Network Associates gewaarschuwd en deze heeft op zijn website inmiddels (zondag 26/3/2006) een tweede IP-adres bekendgemaakt dat door Firewall bezitters ook moet worden geblokkeerd.)
[color=red]De IP-adressen die geblokkeerd moeten worden zijn:
IP: 200.182.57.13
IP: 66.242.129.251[/color]
De ontdekte malware installeert een DLL-bestand dat gebruikt wordt als een BHO (Browser Helper Object). Wie SpywareBlaster gebruikt kan via Tools en Custom Blocking deze BSO in het Systeem Register (CLSID) van Windows blokkeren. Deze sleutels zijn:
[color=red]{B4B1D862-DD79-47E6-B29B-2AD5A9A5D885}
{FBFD2ED1-14EA-4D3A-B88E-DADF7C058766} [/color]
De malware maakt gebruik van de onderstande Register sleutels:
HKEY_CLASSES_ROOTCLSID{B4B1D862-DD79-47E6-B29B-2AD5A9A5D885}
HKEY_CLASSES_ROOTCLSID{FBFD2ED1-14EA-4D3A-B88E-DADF7C058766}
Het voordeel van SpywareBlaster is het feit dat het programma niet op de achtergrond hoeft te werken, zoals virusscanners en sommige spywarescanners dit wel doen.
Wie CounterSpy of Windows Defender gebruikt wordt gewaarschuwd door de Resident Shield als er een nieuwe BHO wordt ontdekt. Onbekende BHO's dienen standaard geblokkeerd te worden.
Symantec heeft vandaag de heuristische detectie bijgewerkt om deze
exploit via de virusscanner te kunnen ontdekken: [color=blue]Bloodhound.Exploit.61[/color]. Er is bij mij weten nog geen informatie beschikbaar of de aanvalshandtekeningen voor Norton Internet Security zijn bijgewerkt. Op 23 maart was de laatste update voor de Firewall. Voor andere producten wordt verwezen naar de websites van de betreffende Firewall-aanbieders.
De virusdefinities voor Norton Antivirus zijn bijgewerkt tot en met 25 maart 2006. Wie producten heeft van 2005 en daarvoor dient via Intelligent Updater van Symantec de laatste virusdefinities op te halen om het virus PWsteal.PartyPooper te kunnen detecteren.
Verschillende websites blijken nu de exploit-code te bevatten die na een
bezoek via de ongepatchte IE geactiveerd kunnen worden. De gebruikers
moeten daarom extra op hun hoede zijn als Internet Explorer wordt
gebruikt. Beter is het om de laatste versie van Firefox te gebruiken.
Links Symantec:
http://securityresponse.symantec.com/
http://securityresponse.symantec.com/avcenter/venc/data/bloodhound.exploit.61.html
Link Internet Storm Centrum:
http://isc.sans.org/diary.php?storyid=1221
Link McAfee:
http://vil.nai.com/vil/content/v_139049.htm
Downloaden van (Freeware) SpywareBlaster 3.5.1
http://www.javacoolsoftware.com/spywareblaster.html
Downloaden van (Freeware) Windows Defender (alleen voor XP SP2)
http://www.microsoft.com/athome/security/spyware/software/default.mspx
Downloaden van CounterSpy (shareware) ook voor XP SP1.
http://www.sunbelt-software.com/CounterSpy-Download.cfm
26-03-2006, 20:27 door
G-Force
**UPDATE 3**
Volgens de website van het SANS instituut is er een e-mail bijlage te fabriceren die de misbruik maakt van de CTR-exploit. Aangeraden wordt om de virusdefinities van de AV-aanbieders up to date te houden. Er zouden nog geen rapporten binnen zijn gekomen die wijzen op het gebruik van een dergelijke e-mail. Via een HTML-bestand in de e-mail kan de exploit worden uitgebuit. HTML moet daarom standaard worden uitgeschakeld in de e-mail client.
Zie ook: http://isc.sans.org/diary.php?storyid=1222
Volgens de website van het SANS instituut is er een e-mail bijlage te fabriceren die de misbruik maakt van de CTR-exploit. Aangeraden wordt om de virusdefinities van de AV-aanbieders up to date te houden. Er zouden nog geen rapporten binnen zijn gekomen die wijzen op het gebruik van een dergelijke e-mail. Via een HTML-bestand in de e-mail kan de exploit worden uitgebuit. HTML moet daarom standaard worden uitgeschakeld in de e-mail client.
Zie ook: http://isc.sans.org/diary.php?storyid=1222
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
