Eind januari werd er malware ontdekt die Windows computers via een lek in Windows Media Player infecteerde. De aangevallen computers misten beveiligingsupdate MS12-004, die twee problemen verhelpt waardoor aanvallers onder andere via een kwaadaardig MIDI-bestand de computer kunnen overnemen. In het geval van de aanval van eind januari werd er via het beveiligingslek een rootkit geïnstalleerd.
"Het belang van deze exploit mag niet worden onderschat, aangezien MIDI een relatief ongecompliceerd formaat is", zegt Alex McDonnell van Sourcefire. "Een eenvoudige 1-byte overflow was voldoende om willekeurige code in de context van Windows Media Player uit te voeren."
Volgens McDonnell is het geen exploit die uren kost om te gebruiken. "Basiskennis van het (open) MIDI bestandsformaat en HTML is voldoende." Aanvallers kunnen het MIDI-bestand in een website inbedden zodat die automatisch wordt gespeeld als de bezoeker de pagina laadt.
Analyse
In deze analyse gaat McDonnell uitgebreid in op de kwetsbaarheid in het uit 1982 stammende MIDI-formaat. "Het Windows Media Player MIDI overflow-lek is een goed voorbeeld van een kwetsbaarheid die door de leverancier wordt geopenbaard, hackers die de bruikbaarheid van het lek beseffen en in-het-wild code die kort daarna verschijnt", aldus de analist.
Deze posting is gelocked. Reageren is niet meer mogelijk.