image

DLL-exploit voor PowerPoint, uTorrent en Foxit

woensdag 25 augustus 2010, 06:03 door Redactie, 10 reacties

Sinds Microsoft voor het omvangrijke DLL-lek in Windows waarschuwde, zijn er voor verschillende programma's exploits verschenen die een aanvaller kwaadaardige code op systemen laten uitvoeren. Op Exploit-db.com, de opvolger van het overleden Mllw0rm, zijn er DLL-hijacking exploits voor Windows Live Email, uTorrent, Foxit Reader, Microsoft Power Point en Wireshark gepubliceerd.

Volgens de Israëlische beveiligingsonderzoeker Aviv Raff zijn standaard meegeleverde programma's van Vista en mogelijk ook Windows 7 kwetsbaar voor de aanval. "DLL hijacking werkt zelfs als het DLL-bestand verborgen is! Social engineering werd net weer iets makkelijker", aldus de onderzoeker. De maker van Metasploit H.D. Moore, laat weten dat zijn hackertool dit automatisch doet.

Microsoft kwam gisteren met een tool die het laden van libraries van gedeelde netwerkmappen voorkomt. Onderstaande video demonstreert de exploit in combinatie met metasploit.

Reacties (10)
25-08-2010, 08:34 door SirDice
Door Redactie: "DLL hijacking werkt zelfs als het DLL-bestand verborgen is! Social engineering werd net weer iets makkelijker", aldus de onderzoeker.
Ja, duh. Dat een bestand voor een gebruiker 'verborgen' is wil nog niet zeggen dat dat ook voor het systeem geldt. Het 'verbergen' is alleen cosmetisch.
25-08-2010, 09:12 door Anoniem
Het kan aan mij liggen, maar ik snap niet hoe je van een http-link ineens 'switcht' naar een gedeelte netwerkmap. Volgens mij blokkeren de meeste routers zelfs filesharing-verkeer naar buiten het lokale netwerk? (behalve door een vpn oid)
25-08-2010, 10:52 door Anoniem
Heb gisteren ook ermee gespeeld. Zo makkelijk! Een van de makkelijkste exploits ooit. Ik vind dat die nu al in aanmerking komt voor epic security fail 2011
25-08-2010, 10:55 door [Account Verwijderd]
[Verwijderd]
25-08-2010, 12:41 door Anoniem
Eerst was Abode Reader lek en ging men massaal over op Foxit. Deze werd enorm populair in gebruik, gevolg....men ging daar zijn pijlen op richten om lekken te gebruiken. Conclusie...hoe meer mensen een pakket gaan gebruiken, hoe meer lekken er gevonden gaan worden.
25-08-2010, 13:15 door SirDice
Door Anoniem: Het kan aan mij liggen, maar ik snap niet hoe je van een http-link ineens 'switcht' naar een gedeelte netwerkmap.
smb:// is een geldige URI.

Volgens mij blokkeren de meeste routers zelfs filesharing-verkeer naar buiten het lokale netwerk? (behalve door een vpn oid)
Nope, dat verkeer wordt door de meeste routers niet geblokkeerd. Wel van buiten naar binnen maar niet andersom.
25-08-2010, 13:23 door Preddie
Door Peter V: De bovengenoemde apps heb ik gelukkig niet op dit systeem staan. Maar de vraag is: who's next?

uh, H.D. Moore heeft inmiddels bekend gemaakt dat hij al ruim 200 apps heeft die kwetsbaar zijn. Het is hoogstwaarschijnlijk dat jij ook zoon app draait
25-08-2010, 22:12 door Rene V
Door Peter V: De bovengenoemde apps heb ik gelukkig niet op dit systeem staan.

Nu, dan ben jij in elk geval veilig! *proest* :-)

Door Peter V:
Maar de vraag is: who's next?

Ehmm.. you?!? :o)=)
25-08-2010, 23:47 door Anoniem
Geld dit ook als je bijv powerpoint op google docs opent ? document sharing tools zoals offisync-plugin ?
26-08-2010, 13:46 door Rene V
uTorrent 2.0.4 is inmiddels uit en heeft dit gepatched.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.