Wat ik al dacht, een local exploit. Dat je door zo'n bug willekeurige code kunt uitvoeren lijkt me duidelijk. Maar waarom draait die font-parser handel in hemelsnaam in kernel space?!?

Maar nu is wél bekend wat de exploit is. Nu kunnen anderen dan de Duqu-bouwers de exploit gebruiken. Dus: "Het risico voor Windows-gebruikers is volgens anoniem vrij groot."

Dit is geen local maar een remote exploit. Wel is het zo dat er 2 soorten remote exploits zijn: met gebruikersinteractie en zonder (netwerkwormen).

Dit is duidelijk een gevalletje gebruikersinteractie, bezoeken van een website die zelf gecompromitteerd is (of een ad server) volstaat.

Inderdaad absurd.

Een kanttekening bij de "Fix-it oplossing" dan wel de manual workaround:
"Impact of Workaround. Applications that rely on embedded font technology will fail to display properly."
http://technet.microsoft.com/en-us/security/advisory/2639658

Daarnaast meldt Avira reeds:
"It is highly improbably that you will get infected by not patching this vulnerability since all antivirus solution currently detect the malicious files."
http://techblog.avira.com/2011/11/04/microsoft-publishes-a-workaround-for-duqu-malware/en/

Dat willen ze je graag doen geloven, maar als het aanvallers lukt om zo'n exploit in bijv. obfuscated javascript te verpakken, gaat geen enkele virusscanner dat detecteren - doodeenvoudig omdat de exploit niet herkenbaar in een bestand vanaf je schijf gelezen wordt. Een eventuele font-download door je webbrowser zal slechts door een beperkt aantal virusscanners worden gescand (namelijk die op http verkeer meekijken) en als e.e.a. via https aangeboden wordt daalt dit aantal bjna tot 0 (Kaspersky bijv. kan in https scannen maar default staat dit uit).

Ik ben het dus eens met Anoniem van 11:04 hierboven: reken maar dat deze exploit aan de bekende exploit packs zal worden toegevoegd.

Een alternatieve fix (voor surfen met je webbrowser) is waarschijnlijk het disablen van font downloads.

MSIE8:
- Open menu Extra | Internetopties
- Open de tab "Beveiliging"
- Kies de aarbol "Internet"
- Klik op de knop "Aangepast niveau..."
- Scroll ca. 3/4 naar beneden tot je "Gedownloade elementen" ziet
- Daaronder staat "Lettertype downloaden": wijzig de instelling naar keuze naar "Uitschakelen" of "Vragen"

Dit is duidelijk een local, geen remote. Een remote exploit is iets wat extern wordt afgevuurd op een slachtoffer. Het Word document wordt dan wel rond gestuurd maar de feitelijke exploit wordt lokaal uitgevoerd, ergo een local exploit. Je kunt deze bug ook niet op afstand misbruiken. Je zult iemand moeten verleiden om het lokaal uit te voeren.

En ook dat zijn local exploits. De betreffende pagina wordt eerst geladen en lokaal geparsed. En dus is ook dat een local exploit en geen remote.

Een remote exploit was bijv. Nimda of CodeRed. Of er wel of geen gebruikersinteractie nodig is is niet relevant v.w.b. de vraag of een exploit local of remote is.

-foutje-

Na Fixit 50792 gedaan te hebben geeft mijn anti-virus aan dat er essentiele updates geinstalleerd moeten worden te weten KB982132 EN KB972270 is dit soms nodig of heeft de Fixit ze uitgeschakeld ? Als de Fixit op disable zet komen deze updates niet meer voor in windows update .Dus hoe nou te handelen ? iemand een idee ? want ben ik nou op andere punten weer kwetsbaar ?

In http://technet.microsoft.com/en-us/security/advisory/2639658 onderaan de FAQ staat: @SirDice: Hoewel Microsoft de term "remote" zo te zien nog niet gebruikt in bovengenoemde pagina, is het wel gangbaar dat MS die term voor dit soort kwetsbaarheden gebruikt.
Google maar eens naar: internet explorer remote code execution site:microsoft.com

Overigens is dit niet de eerste bug in T2Embed.dll, in http://technet.microsoft.com/en-us/security/bulletin/ms06-002 lees ik:Kennelijk geen SYSTEM destijds in 2006. Nog twee uit 2010: http://www.microsoft.com/technet/security/bulletin/MS10-001.mspx: en http://technet.microsoft.com/en-us/security/bulletin/MS10-076: In dat laatste geval lees ik verder slechts: Iets minder stellig dus.

Meestal heb ik het niet zo op "Zeer ernstig lek" (zie http://www.security.nl/artikel/39045/1/Zeer_ernstig_lek_in_Windows-kernel_ontdekt.html) maar in dit geval is die kwalificatie wel van toepassing. Het komt niet vaak voor dat een aanvaller meteen SYSTEM rechten kan krijgen slechts doordat een unprivileged gebruiker een kwaadaardige website bezoekt.

Daarnaast vermoed ik dat deze exploit ook via bijv. PDF en Flash te gebruiken is. Kortom ik denk dat iedereen er verstandig aan doet om de Fit-It van Microsoft te implementeren, want deze exploit gaat snel ingezet worden door aanvallers. En zoals ik eerder al schreef, vertrouw niet op je virusscanner.

Overigens kan die fix-it voor Firefox gebruikers mogelijk grotere consequenties hebben onder W7 dan oudere Windows versies (en lopen W7 gebruikers met Firefox wellicht een groter risico als ze de Fix-It niet draaien): zie https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=510440: Ik sluit zelfs niet uit dat sommige servers kwetsbaar zijn, bijv. indien afdrukken op zo'n server gerendered worden.

Dat zijn 2 van de 3 updates die ik hierboven noem (haal KB weg dan zie je de getallen terugkomen).

Ik heb een heel sterk vermoeden dat jou virusscanner klaagt omdat hij niet kan vaststellen dat de juiste versie van t2embed.dll geïnstalleerd is. Je bent juist niet meer kwetsbaar door het niet-toegankelijk maken van t2embed.dll.

Welke virusscanner gebruik je trouwens?

Ik gebruik Nod32 en ook bij automatische updates worden ze toch weer gelijk aangeboden staan nu hier weer in de wachtrij .Maar goed ik zal ze dus negeren wel verwarrend allemaal ook omdat de waarschuwingsdienst.nl deze fixit aanraad in hun sms waarschuwing !

Ik gebruik Nod32 en met automatische Updates word de bovenstaande Updates ook weer aangeboden heb al automatische updates tijdelijk uitgezet .Maar kan me wel voorstellen dat er meer zijn die het zelfde hebben vooral na de sms gister van de waarschuwinngsdienst.nl en je dan na de fixit weer de updates via uitschakelen weer installeert die de fixit weer oplossen allemaal confused hoor

@ Bitwiper:

Na installeren van Fix it 50792 krijg ik ook de melding om twee updates te installeren. Echter niet van de virusscanner, zoals Anoniem vrijdag jl. om 22.01 uur hierboven meldt. Ik krijg een 'gewone' Windows Update melding. Echter na installeren van de twee updates KB931125 en KB972270 blijft Windows Update steeds opnieuw meldingen geven dat deze twee updates geïnstalleerd moeten worden. Nogmaals installeren verhelpt dit probleem echter niet. Windows Update blijft identieke meldingen geven.Op http://krebsonsecurity.com kom ik bij de reacties meldingen tegen dat anderen ook dit probleem hebben.

---------------------------------------------------------------------------------------------
Quote 1 van Tim Cole aldaar:
I just got two MS monthly updates to run which came on Saturday instead of Tuesday. So, I checked the Microsoft Update site to see if they were legit and they were there too.
I installed them from the site then went and turned automatic updates back on and it started installing them again and again. I finally went in and disabled that Fix-It 50792 by running Fix-it
50793. That stopped the loop and it quit installing them. I guess that stopped them as when I went back to check MS Updates they were there and ready to install again. Those Fix-Its seem to cause issues every time there is one of them.

Quote 2 van PeterM:
Tim, my experience (XP SP3) was the same –after running the FixIt, two old updates (KB982132 – MS10-076 & KB972270 – MS10-001) kept re-installing until removed the FixIt.
---------------------------------------------------------------------------------------------

Vraag aan o.a. Bitwiper: o.b.v. jouw bovenstaand citaat "Je bent juist niet meer kwetsbaar door het niet-toegankelijk maken van t2embed.dll" deze Windows Update-meldingen gewoon maar even negeren? Of kunnen er door het toepassen van Fix it 50792 elders kwetsbaarheden ontstaan zijn?

Ik gebruik Nod32 maar die updates nummers worden gewoon aangeboden weer via automatische updates Ik installeer ze niet .Maar ik kan me wel indenken dat gewoon weer geinstalled word door een leek .Want ook ik kreeg smsje via waarschuwingsdienst.nl over deze fixit en dan zullen er vele zijn die weer de aangeboden update na de Fixit installen .By the way ik heb je al eerder 3 keer eerder beantwoord Bitwiper ,maar werd niet geplaatst

Dat Microsoft het op die manier misbruikt wil nog niet zeggen dat ik het daar mee eens ben.

En dat zijn ook een local exploits.

Hoe je het went of keert, je zult eerst iets lokaal moeten krijgen, een webpagina downloaden, een Word of PDF document openen. De verwerking daarvan gebeurd lokaal, de exploit dus ook. Bij een 'echte' remote exploit denk ik aan een lekke service die aan internet hangt.

2011-11-07, 21.26 u.
Het verhaal van Anoniem klopt.
Na het installeren van de FixIt-update (op advies van de Waarschuwingsdienst) krijg ook ik voortdurend dat gele schildje van Windows Updates in beeld (in het vakje bij de klok), dat zeurt dat ze (KB972270 en KB982132) gedownload zijn en geïnstalleerd kunnen worden. Als ik dat doe, blijft dat schildje terugkomen. En terugkomen...
Hoe kom ik daar vanaf?

Klopt, dit gedrag zie ik ook.

Fix It 50792 doet, voor zover mij bekend, niets anders dan toegang blokkeren tot t2embed.dll door er de permissie "Everyone:Full Control:Deny" aan toe te voegen, precies zoals http://technet.microsoft.com/en-us/security/advisory/2639658 in Suggested Actions - Workarounds specificeert.

Omdat het update-scan proces onder een gewoon gebruikersaccount draait kan deze daarna niet meer vaststellen of de juiste versie van t2embed.dll geïnstalleerd is en stelt een update voor. De feitelijke updater draait met SYSTEM rechten; dan worden permissies volledige genegeerd. De updater zal het bestand echter alleen vervangen als de update een DLL met later versienummer bevat.

En als dat zo is, lijkt de updater daarna de permissies van de oude versie over te nemen; iIk heb dit even getest (Engelstalige XP Pro SP3, fully patched):
- permissies op de huidige c:\windows\system32\t2embed.dll (2010-08-27) tijdelijk normaal gemaakt
- kopie gemaakt van de actuele c:\windows\system32\t2embed.dll (naar backup bestand)
- c:\windows\$NtUninstallKB982132$\t2embed.dll (2009-10-15) over c:\windows\system32\t2embed.dll heengeschreven
- "Everyone:Full Control:Deny" op c:\windows\system32\t2embed.dll gezet
- shutdown gedaan zodat de updates werden geïnstalleerd.

Daarna bleek c:\windows\system32\t2embed.dll weer door de laatste versie (2010-08-27) te zijn overschreven, met "Everyone:Full Control:Deny" gezet.

Ik verwacht dus dat zodra Microsoft hier een patch voor uitbrengt (vanavond?) de daadwerkelijke update gewoon plaats zal vinden, maar je t2embed.dll daarna nog steeds niet kunt gebruiken, om vervolgens telkens 3 updates aangeboden te krijgen (voor zover ik me herinner heeft Microsoft bij updates nog nooit rekening gehouden met eventuele Fix It's, d.w.z. deze nooit ongedaan gemaakt bij automatische updates).

Kwestie van Fix It 50793 draaien (of de Deny "ACE" handmatig verwijderen). Mogelijk zal je systeem de reeds aangemelde (en gedownloade) updates nog uit willen voeren, om vervolgens tijdens uitvoering ervan te ontdekken dat ze geen van allen meer nodig zijn.

Kortom:

- Fix It 50792 schakelt op een erg botte manier t2embed.dll uit met als resultaat dat je de functionaliteit ervan niet meer kunt gebruiken en je zinloze updates krijgt aangeboden. Ik kan hieraan niets ontdekken dat je op welke manier dan ook in gevaar zou kunnen brengen. Nou ja, dat je gele schildjes helemaal gaat negeren, da's niet goed natuurlijk!

- Zodra de echte update beschikbaar is zul je Fix It 50793 moeten draaien. Om wat extra nodeloze updates te vermijden kun je dat het beste doen op het moment dat de nieuwe updates worden aangeboden. Maar als je dat vergeet kan het vermoedelijk geen kwaad om het later/achteraf te doen.

Disclaimer: ik ben geen MVP en ik werk niet voor Microsoft, dit is wat ik op basis van ervaring, testjes en waarnemingen vermoed en waarvan ik denk dat het klopt. Er is echter maar 1 ding 100% zeker in je leven...

TnX Bitwiper voor je heldere Uitleg !

Dank bitwiper, maar in mijn geval: paarlen voor de zwijnen.
Als ik niks doe en het gele schildje voorlopig (tot volgende maandupdate) negeer, zou het dan vanzelf goed komen? Ik bedoel: geen geel schildje meer voor de 2 geinstalleerde en het niet verdwijnende update aanbod van deze 2?

Heb je daar ergens een aanwijzing voor gevonden, Bitwiper?
De redactie citeerde eerder nog Jerry Bryant, die aangaf dat de update nog niet gereed zou zijn om aan te bieden:

Wat bedoel je precies, Anoniem?
Voor het geval je bedoelde dat Bitwipers uiteenzetting te ingewikkeld voor je was, hieronder een zo simpel mogelijk antwoord op je vragen.

Wat Bitwiper aangaf was dat het wellicht het verstandigste zou zijn om de uitgevoerde Microsoft Fix it 50792 voorafgaand aan de werkelijke update ongedaan te maken (uit te schakelen) door middel van Microsoft un-Fix it 50793, die eveneens te vinden is via http://support.microsoft.com/kb/2639658
Dat is de Fix it die je daar vindt onder Uitschakelen (Disable).
Het is wellicht aan te raden die un-Fix it 50793 alvast op te slaan en te bewaren voor wanneer je die binnenkort nodig hebt.

Wanneer de werkelijke update beschikbaar komt voer je voorafgaand daaraan eerst de un-Fix it 50793 uit, en vervolgens pas de werkelijke update.
Die manier geeft de grootste kans dat alles netjes goed komt zonder verdere complicaties.

@Bitwiper: dank voor de uitvoerige en heldere reactie op mijn vraag (Anononiem 07-11 00.13 uur)!

Heeft iemand ook de ervaring dat na de fixit het niet meer mogelijk is om een docx als pdf op te slaan?

Ik zie dan: 'Het exporteren is vanwege een onverwachte fout mislukt.'

Ton

Dag,

Reactie op mijn eigen eerdere bericht:

Via virusalert kreeg ik de melding dat mijn computer kon lopen. Zie ook hier: http://www.security.nl/artikel/39062/1/Microsoft_%2522fix%2522_voor_ernstig_Windows-lek.html.

Daarop heb ik de fixit (http://support.microsoft.com/kb/2639658) geïnstalleerd.
Vervolgens bleek ik in Word mijn documenten niet meer als pdf of xps te kunnen opslaan.
Daarna heb ik de fixit teruggedraaid (http://support.microsoft.com/kb/2639658).
Opslaan als pdf is nu weer mogelijk.

Nope en het gaat ook niet gebeuren heb ik zojuist gezien (http://isc.sans.edu/diary/Microsoft+November+2011+Black+Tuesday+Overview/11971).

Overigens krijg ik op XP niets van al dat nieuw leed te zien, maar krijg ik wel MS11-037 opnieuw aangeboden. Bovenaan de FAQ staat de vraag "Why was this bulletin rereleased on November 8, 2011?" maar het antwoord daaronder slaat nergens op. Ik besteed er zo wel een apart draadje aan, URL voeg ik zo toe onderaan deze post.

Dat is bij mij ook zo, zojuist gereproduceerd, met Office 2007 plus "SaveAsPDF" plugin (waarmee o.a. de inhoudsopgave clickable wordt in PDF's, overigens hier te downloaden: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=9943) kan ik niet meer als PDF of XPS saven.

FreePDF (http://freepdfxp.de/) werkt nog wel gewoon, deze maakt gebruik van GhostScript - die op haar beurt kennelijk geen gebruik maakt van t2embed.dll. Helaas kan FreePDF geen inhoudsopgaven clickable maken.

Overigens wel een geruststelling dat een eventueel op een server gedraaide GhostScript (RedMon o.i.d.) hiermee geen kwetsbaarheid op servers lijkt te introduceren (omdat deze dus geen t2embed gebruikt).

XP/W2k3 MS11-037 update: zie http://www.security.nl/artikel/39116/1/XP%2B2k3%3A_MS11-037_opnieuw_2011-11-08.html

Ik heb Avast! Pro en Malwarebytes pro , dus alles is goed beschermd hier.
.

Echter, Bitwiper antwoordde op een vergelijkbare bewering (van Avira) eerder al:

Helaas is na het installeren van deze hotfix opslaan als pdf niet meer mogelijk. We hadden na het installeren van deze hotfix op vrijdag na 17:00 uur uiteraard nog geen problemen, deze begonnen echter aan het begin van deze week. Onderzoek wees uit dat de veroorzaker van dit probleem de hotfix van MS was. Na het verwijderen van de hotfix konden onze gebruikers als vanouds hun documenten als pdf opslaan. Helaas kunnen wij de hotfix dus niet gebruiken. Shame MS.

Arno Jansen

Gewoon je pc of laptop een paar dagen uitzetten!
Nergens geen last meer van.