image

Microsoft waarschuwt voor Oracle-lek in Exchange

woensdag 25 juli 2012, 10:16 door Redactie, 5 reacties

Een kwetsbaarheid in de Oracle-technologie die Microsoft voor Exchange en Fast Search gebruikt zorgt ervoor dat aanvallers kwetsbare servers kunnen overnemen. De kwetsbaarheid bevindt zich in Oracle Outside, waarmee softwareontwikkelaars zoals Microsoft bepaalde bestandsformaten kunnen benaderen en omzetten. Onlangs dichtte Oracle verschillende lekken in de eigen software, maar die kwetsbaarheden blijken ook in Oracle Outside aanwezig te zijn, die onder andere voor Microsoft Exchange Server 2007 en 2010 en FAST Search Server 2010 voor SharePoint wordt gebruikt.

Om de kwetsbaarheid te misbruiken kan een aanvaller een special geprepareerd bestand uploaden dat vervolgens door FAST Search wordt geïndexeerd.Als de FAST Search index dit bestand verwerkt wordt willekeurige code in de context van de gebruiker uitgevoerd.

E-mail
In het geval van Exchange kan de aanvaller een e-mailbericht met een speciaal geprepareerd bestand naar een gebruiker op een Exchange server sturen. Als de gebruiker het bestand bekijkt, wordt de willekeurige code op de Exchange server uitgevoerd. Een aanvaller heeft vervolgens volledige controle over de server.

In afwachting van een beveiligingsupdate heeft Microsoft een workaround met tijdelijke oplossing online gezet.

Reacties (5)
25-07-2012, 13:54 door Bitwiper
Enkele aanvullingen:

Exchange 2007 en 2010 - alleen bij OWA gebruik

Volgens de Microsoft advisory en aanvullende info is een Exchange 2007 of 2010 server alleen kwetsbaar als er OWA (Outlook Web Access) gebruikers zijn. Voor het previewen van bijlagen wordt dan, op de server, van de transcoding service gebruik gemaakt, die op zijn beurt van de "Oracle Outside In" libraries (met kwetsbaarheid) gebruik maakt.

Dit betekent dat spammers malware mails kunnen sturen waarbij de malware op de server wordt uitgevoerd zodra een OWA gebruiker de bijlage bij die mail previewt. Een virusscanner op de client doet hier zo goed als zeker niets tegen. Of een virusscanner op de server soelaas biedt is ook nog maar de vraag: als de malware volledig in-memory word verwerkt (dus niet als bestand op de schijf belandt) zijn de meeste virusscanners niet effectief, en er zijn vele manieren om de malware in de email te "obfusceren" totdat deze door bedoelde services wordt geconverteerd naar iets leesbaars voor OWA gebruikers.

Uit http://technet.microsoft.com/en-us/security/advisory/2737111:
Microsoft is investigating new public reports of vulnerabilities in third-party code, Oracle Outside In libraries, that affect Microsoft Exchange Server 2007, Microsoft Exchange Server 2010, and FAST Search Server 2010 for SharePoint, which ship that component.
Ik raad aan de door Microsoft voorgestelde workaround (in genoemde pagina) ASAP uit te voeren indien je Exchange 2007 of later draait en OWA gebruikers hebt (d.w.z. uitschakelen van die trancoding services totdat een patch beschikbaar is en je deze hebt geïmplementeerd).

Nb Exchange 2003 en ouder zijn niet kwetsbaar volgens Microsoft.

Sharepoint 2010

Sharepoint 2010 is, volgens Microsoft, alleen kwetsbaar indien FAST Search met Advanced Filter Pack is aangezet. Daarnaast moet een kwaadwillende gebuiker dan ook toegang hebben tot SharePoint. Het onmiddellijke risico lijkt me dus veel groter bij Exchange installaties.

Aanvulling 14:56
Het lijkt erop dat er Oracle Microsoft niet heeft gewaarschuwd of dat Microsoft aankondigingen van Oracle heeft gemist, en blijkbaar niet weet dat ze zelf dit soort componenten gebruikt...

Exploits zijn ondertussen gepubliceerd, o.a. 3 stuks hier: http://www.exploit-db.com/dos/ (geen diee waarom ze daar de onder "DoS" staan, de auteur (http://www.protekresearchlab.com/) heeft het over remote code execution).

Het gaat om een flink aantal kwetsbaarheden (zie de "Outside In" vulnerabilities in http://www.oracle.com/technetwork/topics/security/cpujul2012verbose-392736.html#Oracle%20Fusion%20Middleware en de CVE references in http://technet.microsoft.com/en-us/security/advisory/2737111).

Meer waarschuwingen: http://secunia.com/advisories/50019 en https://isc.sans.edu/diary/Microsoft+Exchange+Sharepoint+and+others+Oracle+Outside+In+Vulnerability/13780.

Info over de onderhavige Oracle "Outside In" libraries: http://www.oracle.com/technetwork/middleware/webcenter/content/oit-all-085236.html (en http://www.oracle.com/technetwork/middleware/webcenter/content/htmlexport-092288.html). Overigens is dit niet de eerste keer dat er kwetsbaarheden in deze libraries worden gevonden.

Volgens http://www.kb.cert.org/vuls/id/118913 zijn de oracle Outside In libraries met versies OUDER DAN 8.3.5.6369 en 8.3.7.171 kwetsbaar. Het zou gaan om gemanipuleerde bestanden met de volgende extensies: .VSD, .WSD, .JP2, .DOC, .SXD, .LWP, .PCX, .SXI, .DPT, .PDF, .SAM, .ODG, en .CDR.
25-07-2012, 16:17 door Arie
Bedankt BitWiper voor deze aanvulling. De aanvalsvector is zodanig dat ik dit advies volg.
25-07-2012, 16:54 door Bitwiper
In http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=118913&SearchOrder=4 staat van welke softwareleveranciers bekend is dat ze gebruik maken van de -kwetsbare- Oracle Outside In libraries:

Affected:
Softwareleverancier | _MOGELIJK_ kwetsbaar product (evt. nog meer!)
---------------------------------------------------------------------
AccessData.com | FTK forensische software, zie verderop
ACDSee.com | ACDSee viewer
Avantstar.com | Quick View Plus
Cisco.com | ?
GuidanceSoftware.com | EnCase forensische software, zie verderop
HP.com | ?
IBM.com | ?
KamelSoftware.com | Fastlook en WebLook
kcura.com | Relativity maakt gebruik van 8.3.5
KrollOntrack.com | Data recovery (defecte harddisks etc)
Lucion.com | FileCenter Paperless en FileConvert
MarkLogic.com | ?
McAfee.com | o.a. GroupShield, FoundStone products
Microsoft.com | In elk geval Exchange en SharePoint
NewSoftinc.com | Presto!PageManager en Scanning Solutions
Novell.com | in elk geval Groupwise en WebAccess
Oracle.com | ?
Paraben.com | Passware Kit Forensic software
Perlustro.com | ILookIX forensische software
Stellent.com | Ingelijfd door Oracle (makers v/d libraries)
Symantec.com | Enterprise Vault
Windream.com | diverse?
Onbekend:
Softwareleverancier | _MOGELIJK_ kwetsbaar product (evt. nog meer!)
---------------------------------------------------------------------
Dell.com | ?
Good.com | ?
Lexmark.com | ?
Motorola.com | ?
SharpUsa.com | ?
Sun.com | ?
Westlaw.com | TWEN
X1.com | x1
Voor degenen die vermoeden dat ze kwetsbare producten gebruiken, Googlen naar:
site:novell.com "oracle outside"
geeft soms de benodigde info (vervang novell.com door de gewenste leverancier).

Zo vond ik o.a. http://www.windream.com/download/Patches/OutsideIn/ReleaseNotes.txt welke een flinke vulnerability-history laat zien van Oracle Inside Out...

Als iemand aanvullende info heeft over lekke producten, vernemen we dat graag!

Interessant is dat http://computer-forensics.sans.org/blog/2010/04/27/arbitrary-code-execution-examiner-systems-file-corruption vermeldt dat zowel EnCase als FTK (beide bekende forensische onderzoektools) van de Oracle Outside In libraries gebruik maken.

En dit is dus 1 van de redenen waarom goede forensisch onderzoekers nooit een origineel medium inspecteren maar een 1-op-1 kopie daarvan. Wel is het zaak dat zij zich realiseren dat dit soort kwetsbaarheden bestaan, en je dus door slimme criminelen op het verkeerde been kunt worden gezet...

Aanvulling 17:29
MICROSOFT BLUNDER: volgens http://www.kb.cert.org/vuls/id/MAPG-8SRTG5 heeft US-CERT Microsoft al op 26 Mar 2012 gewaarschuwd voor lekken in Oracle Outside In nadat Microsoft op 23 maart https://blogs.technet.com/b/exchange/archive/2007/03/23/3401668.aspx?Redirected=true had gepubliceerd...
25-07-2012, 17:08 door Anoniem
Door Bitwiper: Enkele aanvullingen:
Exploits zijn ondertussen gepubliceerd, o.a. 3 stuks hier: http://www.exploit-db.com/dos/ (geen diee waarom ze daar de onder "DoS" staan, de auteur (http://www.protekresearchlab.com/) heeft het over remote code execution).
Waarschijnlijk omdat de gepubliceerde files niet meer dan een DoS veroorzaken. Zie het in dit geval als een proof of concept waar eventueel meer uit te halen is. De categorie is dus niet voor niks DoS/PoC op exploit db en zegt meer over de exploit (DoS) in plaats van de vulnerability (heap / stack overflow). Overigens staat dat ook duidelijk in de titels:

- Oracle Outside-In FPX File Parsing Heap Overflow
- Oracle Outside-In LWP File Parsing Stack Based Buffer Overflow
- Oracle Outside-In JP2 File Parsing Heap Overflow
25-07-2012, 17:53 door Bitwiper
Door Anoniem: Waarschijnlijk omdat de gepubliceerde files niet meer dan een DoS veroorzaken.
Je hebt gelijk. Een FC /B tussen de originele file http://pws.prserv.net/waha/neighborhood-watch.lwp/neighborhood%20watch.lwp en http://www.protekresearchlab.com/exploits/PRL-2012-25.lwp geeft slechts de volgende verschillen:
Comparing files neighborhood watch.lwp and PRL-2012-25.LWP
00002E84: 41 01
00002E85: 01 41
00002E86: 86 7C
000048CE: 68 41
000048CF: 31 41
000048D0: 30 41
000048D1: 31 41
000048D2: 38 41
000048D3: 35 41
000048D4: 30 41
000048D5: 30 41
000048D6: 38 41
000048D7: 35 41
000048D8: 30 41
000048D9: 01 41
Da's inderdaad geen uitvoerbare code. Maar reken maar dat die snel volgt...

Door Anoniem: Overigens staat dat ook duidelijk in de titels:

- Oracle Outside-In FPX File Parsing Heap Overflow
- Oracle Outside-In LWP File Parsing Stack Based Buffer Overflow
- Oracle Outside-In JP2 File Parsing Heap Overflow
Een Heap/Stack Overflow exploit kan zowel remote code exec als DoS betekenen (zie ook http://www.exploit-db.com/remote/).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.