image

Waarschuwing: Microsoft-noodpatch voor kritiek Windowslek

maandag 20 juli 2015, 21:36 door Redactie, 18 reacties

Microsoft heeft vanavond een noodpatch voor een kritiek Windowslek uitgebracht waardoor kwaadwillenden computers volledig kunnen overnemen als een gebruiker een document opent of website bezoekt. De kritieke kwetsbaarheid bevindt zich in de Microsoft Font Driver en maakt het uitvoeren van willekeurige code op de computer mogelijk.

Hiervoor zou een gebruiker een speciaal geprepareerd document moeten openen of een kwaadaardige of gehackte website bezoeken die OpenType fonts gebruikt. Het probleem wordt veroorzaakt door de manier waarop de Windows Adobe Type Manager Library met OpenType fonts omgaat. Het beveiligingslek is in alle ondersteunde versies van Windows aanwezig. Volgens Microsoft zijn er voor zover bekend nog geen aanvallen waargenomen die van de kwetsbaarheid gebruik maken, maar zou het voor een aanvaller mogelijk zijn om exploitcode te ontwikkelen waarmee het lek "consistent" kan worden aangevallen.

Naast beveiligingsupdate MS15-078 heeft Microsoft ook verschillende workarounds beschreven die misbruik van het lek kunnen voorkomen, zoals uitgelegd in het security bulletin. De noodpatch wordt inmiddels via Windows Update aangeboden en zou op de meeste computers automatisch geïnstalleerd moeten worden. Handmatig de update downloaden is echter ook mogelijk. Voor het melden van het beveiligingslek bedankte Microsoft Mateusz Jurczyk van Google en Genwei Jiang van beveiligingsbedrijf FireEye.

Reacties (18)
20-07-2015, 21:59 door Erik van Straten - Bijgewerkt: 20-07-2015, 22:25
Dit is een echte PATCH NOW!

Het bezoeken van een gehackte website, of een website met een kwaadaardige advertentie, volstaat. De aanvaller krijgt meteen SYSTEM privileges en het maak niet uit welke webbrowser je gebruikt - tenzij je font-downloads hebt uitgeschakeld (of NoScript gebruikt met Options -> Embeddings -> Forbid @font-face).

Echter, het bekijken van een kwaadaardig PDF of Office bestand volstaat waarschijnlijk ook (in de zin dat een aanvaller jouw Windows systeem compleet kan overnemen).

In https://technet.microsoft.com/en-us/library/security/MS15-078 worden ook enkele workarounds beschreven waarmee "atmfd.dll" effectief wordt uitgeschakeld (op 64-bit systemen moet dat in zowel System32 als SysWOW64). De bijwerking daarvan is dat er geen OpenType/ATM fonts meer getoond worden.

MS15-078 (CVE-2015-2426 / KB3079904) is een update van de vorige week verschenen https://technet.microsoft.com/en-us/library/security/MS15-077. Microsoft heeft de nieuwe patch (MS015-078) ongekend snel uitgebracht. Uit MS015-078:
When this security bulletin was issued, Microsoft had information to indicate that this vulnerability was public but did not have any information to indicate this vulnerability had been used to attack customers. Our analysis has shown that exploit code could be created in such a way that an attacker could consistently exploit this vulnerability.
Het zou mij niet verbazen als dit een door Hacking Team gevonden exploit is die anderhalve week geleden zijn gepubliceerd. De digitale handtekening over bijv. Windows6.1-KB3079904-x64.msu is gezet op 15 juli 2015 19:00:14 UTC (voordat updates worden vrijgegeven neemt Microsoft daarna meestal nog tijd om te testen). Ik verwacht op korte termijn (als we pech hebben, enkele dagen) exploits hiervoor op websites en in spam met bijlagen (gespamde e-mail met embedded fonts sluit ik ook niet uit).

Bron: https://isc.sans.edu/forums/diary/Special+Microsoft+Bulletin+Patching+Remote+Code+Execution+Flaw+in+OpenType+Font+Drivers/19941/

(Ik was dit al op het forum aan het schrijven en besloot vóór het posten even de voorpagina te checken - en ziedaar, de Redactie was mij voor ;)

Aanvulling 22:25: het versienummer van de oude (5.1.2.241) en nieuwe (5.1.2.243) atmfd.dll komt niet daadwerkelijk zo in de file voor; in plaats daarvan staat er voor zowel "file version" als "product version" respectievelijk "5.1 build 241" en "5.1 build 243".

Of de update al op jouw PC geïnstalleerd is, zie je door met Verkenner (Explorer) C:\Windows\System32 te openen en rechts op atmfd.dll te klikken, Eigenschappen (Properties) te kiezen en Details te bekijken. Een alternatief daarvoor is:
sigcheck c:\windows\system32\atmfd.dll
in een command-promt venster uitvoeren. Daarvoor moet je wel Sigcheck.exe van Mark Russinovich op je PC ergen sin PATH hebben, dat tooltje klun je hier downloaden: https://technet.microsoft.com/en-us/sysinternals/bb897441. Meer info over dat tooltje schreef Didier Stevens vandaag in https://isc.sans.edu/forums/diary/Sigcheck+and+VirusTotal/19935/.
20-07-2015, 22:31 door [Account Verwijderd] - Bijgewerkt: 20-07-2015, 22:32
Door Erik van Straten 20-07-2015 21:59 uur:
Het zou mij niet verbazen als dit een door Hacking Team gevonden exploit is die anderhalve week geleden zijn gepubliceerd.

nee op tweakers.net staat dat deze vurnelability gevonden door onderzoekers van FireEye en Google.

http://www.tweakers.net/nieuws/104322/microsoft-patcht-tussentijds-bug-windows.html
20-07-2015, 22:34 door Erik van Straten
Door _kraai__:
Door Erik van Straten 20-07-2015 21:59 uur:
Het zou mij niet verbazen als dit een door Hacking Team gevonden exploit is die anderhalve week geleden zijn gepubliceerd.

nee op tweakers.net staat dat deze vurnelability gevonden door onderzoekers van FireEye en Google.

http://www.tweakers.net/nieuws/104322/microsoft-patcht-tussentijds-bug-windows.html
Dat twee verschillende researchers het tegelijk vinden is niet uniek, maar zo snel een patch uitbrengen wel. En daarnaast, uit http://www.theregister.co.uk/2015/07/20/windows_microsoft_emergency_patch/:
A spokesman for FireEye confirmed to The Register that the bug emerged from Hacking Team's internal files that were leaked online at the start of July by hackers. "It's something we found in the Hacking Team breach, and told Microsoft," he added.
Tweakers heeft niet altijd gelijk :-)
20-07-2015, 22:47 door [Account Verwijderd] - Bijgewerkt: 20-07-2015, 22:50
Door Erik van Straten:
Door _kraai__:
Door Erik van Straten 20-07-2015 21:59 uur:
Het zou mij niet verbazen als dit een door Hacking Team gevonden exploit is die anderhalve week geleden zijn gepubliceerd.

nee op tweakers.net staat dat deze vurnelability gevonden door onderzoekers van FireEye en Google.

http://www.tweakers.net/nieuws/104322/microsoft-patcht-tussentijds-bug-windows.html
Dat twee verschillende researchers het tegelijk vinden is niet uniek, maar zo snel een patch uitbrengen wel. En daarnaast, uit http://www.theregister.co.uk/2015/07/20/windows_microsoft_emergency_patch/:
A spokesman for FireEye confirmed to The Register that the bug emerged from Hacking Team's internal files that were leaked online at the start of July by hackers. "It's something we found in the Hacking Team breach, and told Microsoft," he added.
Tweakers heeft niet altijd gelijk :-)

Bedankt Erik van Straten, het artikel waar je naar linkt had ik niet gelezen. Tja bij een lekkende kraan kan een tweede ook bij uitkomen zolang de eerste hem niet repareerd (raporteert). Uiteraard ontbreekt er ook op tweakers wel eens info ja (bracht mijn reactie verkeerd over).
21-07-2015, 00:11 door Anoniem
Als je door remote code execution in een font driver meteen het systeem over kan nemen draait die font driver kennelijk in kernel mode. Waarom heeft zo'n driver meer rechten nodig dan die van de interactieve gebruiker voor wie letters worden getekend?
21-07-2015, 03:18 door Anoniem
Waarom ondersteunt Windows zoveel fonts?? Te riskant, zo blijkt nu wel weer.
Met Arial, Courier New, en Times New Roman ben ik allang tevreden.
Adobe en PDF moet je mijden als de pest, dat was al een tijdje bekend.
21-07-2015, 06:16 door Erik van Straten
Door Anoniem: Waarom heeft zo'n driver meer rechten nodig dan die van de interactieve gebruiker voor wie letters worden getekend?
Met Windows XP zijn veel grafische bewerkingen naar "system" niveau verhuisd om de verwerkingssnelheid te verhogen (schakelen van/naar user mode kost tijd). Met moderne hardware is dat nauwelijk nog een probleem. Naar verluidt wordt dit "gerepareerd" in W10.

Nb. de potentiële schade is dan lager, maar bijv. ransomware kan verwoestend zijn zonder system privileges nodig te hebben.

@Kraai: toen ik jouw eerste reactie las, had ik net daarvoor (na het plaatsen van mijn 1e bijdrage hierboven) het artikel van The Register gelezen. Het was dus echt een vermoeden van mij :-)
21-07-2015, 09:33 door Anoniem
Heel veel dank voor dit bericht! Ik heb mijn Windows machine meteen gepatcht.
21-07-2015, 09:38 door [Account Verwijderd] - Bijgewerkt: 21-07-2015, 09:39
[Verwijderd]
21-07-2015, 09:58 door Anoniem
Door Erik van Straten:
Door Anoniem: Waarom heeft zo'n driver meer rechten nodig dan die van de interactieve gebruiker voor wie letters worden getekend?
Met Windows XP zijn veel grafische bewerkingen naar "system" niveau verhuisd om de verwerkingssnelheid te verhogen (schakelen van/naar user mode kost tijd). Met moderne hardware is dat nauwelijk nog een probleem. Naar verluidt wordt dit "gerepareerd" in W10.
Bij de overgang van NT 3.5.1 naar NT4 werd GDI van user space naar kernel space verplaatst om performanceredenen, iets waar Microsoft zwaar voor bekritiseerd is en wat de bron van veel BSOD's zou zijn geweest. Is dat niet waar je aan refereert?

Hoe dan ook, de indruk had zich ergens in mijn brein geplant dat dit al geruime tijd achterhaald was. Kennelijk niet, dus.
21-07-2015, 11:39 door Dick99999
Kan ik ook zien of mijn laptop al met succes aangevallen was voordat ik de patch installeerde?
21-07-2015, 11:39 door Erik van Straten
Door Anoniem:
Door Erik van Straten:
Door Anoniem: Waarom heeft zo'n driver meer rechten nodig dan die van de interactieve gebruiker voor wie letters worden getekend?
Met Windows XP zijn veel grafische bewerkingen naar "system" niveau verhuisd om de verwerkingssnelheid te verhogen (schakelen van/naar user mode kost tijd). Met moderne hardware is dat nauwelijk nog een probleem. Naar verluidt wordt dit "gerepareerd" in W10.
Bij de overgang van NT 3.5.1 naar NT4 werd GDI van user space naar kernel space verplaatst om performanceredenen, iets waar Microsoft zwaar voor bekritiseerd is en wat de bron van veel BSOD's zou zijn geweest. Is dat niet waar je aan refereert?
Jazeker, mijn fout! (Ik ben aan ECC geheugen toe ;)

In mijn herinnering speelde dit bij de overgang naar XP, maar in "MS Windows NT Kernel-mode User and GDI White Paper " (https://technet.microsoft.com/library/cc750820.aspx) wordt de argumentatie uit de doeken gedaan.

Uit https://en.wikipedia.org/wiki/Windows_NT_4.0:
One significant difference from previous versions of Windows NT is that the Graphics Device Interface (GDI) is moved into kernel mode rather than being in user mode in the CSRSS process. This eliminated a process-to-process context switch in calling GDI functions, resulting in a significant performance improvement over Windows NT 3.51, particularly in the graphical user interface. This however also mandated that graphics and printer drivers had to run in kernel mode as well, resulting in potential stability issues.

Naar verluidt was Helen Custer, een belangrijke architect van Windows NT 3.51, hier niet bij mee, uit http://slashdot.org/comments.pl?sid=1287729&cid=28554993:
by freedom_india (780002) on Thursday July 02, 2009: [...]
With its infinite wisdom and going against the advice of Helen Custer and NT Architect, Microsoft threw the GDI into Kernel for quicker response times (official reason). The real reason was OS/2 was licked and Microsoft wanted to be a monopoly (without knowing that EU will kick its ass in future). So it threw out POSIX developments (it still remains in basic limited form to be of any real use, much like a Bank's IVR).
This brought in a rash of new problems: Driver developers were not exactly "Code Complete Quality" material. Hell, they were worse than Power Builder programmers. (all offense intended. So sue me PB programmers)
A small freemem(*) call here, a malloc(*) pointer there, and before you know, you had a memory leak, and executable code in Kernel scratching up the wall for a non-existent memory address space.
WTF was the kernel to do? Allow a badly written driver to corrupt the system more? Nope. Not even Microsoft was that stupid. So, the kernel took down the entire system with a BSOD to signify that somewhere something crashed and that the OS cannot recover unless i rebooted the system entirely.
There started the jokes about BSOD, screensavers etc.
Microsoft was tired of these jib jabs, and also since processor power had increased from 33 Mhz on a 80386 to 2048 MHz on an IA64, it started to move back the GDI to user space from kernel in Vista.
[...]
21-07-2015, 11:56 door Erik van Straten
Door Dick99999: Kan ik ook zien of mijn laptop al met succes aangevallen was voordat ik de patch installeerde?
Je zou in je browser cache kunnen kijken of er font downloads hebben plaatsgevonden. Zo ja dan zou je in principe die files kunnen analyseren, maar hoe dat moet weet ik ook (nog) niet.

In elk geval zou je nu een kopie van je huidige browser cache kunnen maken om te voorkomen dat je die files kwijtraakt (de schijfruimte voor zo'n cache soms nogal beperkt is van grootte, de kans is dan groot dat bestanden snel worden overschreven doro andere).

Verder is het natuurlijk niet anders dan elke andere exploit en/of malware waar je mee te maken zou kunnen krijgen. Sowieso doen de meeste aanvallers er moeite voor om te voorkomen dat hun aanval wordt ontdekt. Maar zelfs als ze dat niet doen: moderne PC's hebben enorm veel last van "ruis": ratelende schijven, traagheid en allerlei niet door jou handmatig geïnitieerde verbindingen met een veelheid van Internet servers, vaak met "cdn" in de naam, zijn tegenwoordig "normaal". Daardoor is het, in elk geval voor een leek of minder ervaren computeraar (zeker als je nog nooit Wireshark hebt gestart), vaak onmogelijk om met zekerheid vast te stellen of een systeem is gecompromitteerd of niet.
21-07-2015, 13:21 door Dick99999 - Bijgewerkt: 21-07-2015, 13:24
Dank je, duidelijk. Ik vroeg het omdat ik dacht dat er misschien specifieke infecties o.a. die van dat team, bekend zouden zijn.
21-07-2015, 13:49 door Anoniem
"De noodpatch wordt inmiddels via Windows Update aangeboden"

Helaas is wsusscn2.cab nog niet bijgewerkt dus tools die daar gebruik van maken (WSUS, WSUS OFFLINE) die doen
de update nog niet.
21-07-2015, 15:48 door Erik van Straten - Bijgewerkt: 21-07-2015, 16:15
21-07-2015, 13:49 door Anoniem: "De noodpatch wordt inmiddels via Windows Update aangeboden"

Helaas is wsusscn2.cab nog niet bijgewerkt dus tools die daar gebruik van maken (WSUS, WSUS OFFLINE) die doen
de update nog niet.
Dank voor jouw melding! Ik hou op de zaak in de gaten dat deze meekomt met updates via onze WSUS.

Aanvulling 21-07-2015, 16:15: zojuist zag ik dat https://support.microsoft.com/en-us/kb/3079904 wordt aangeboden via onze WSUS server, dus neem ik aan dat dit bij anderen ook het geval zal zijn.
22-07-2015, 03:39 door vanegmond
Erik van Straten, Aanvulling 22:25: het versienummer van de oude (5.1.2.241) en nieuwe (5.1.2.243) atmfd.dll komt niet daadwerkelijk zo in de file voor; in plaats daarvan staat er voor zowel "file version" als "product version" respectievelijk "5.1 build 241" en "5.1 build 243".

Bedankt voor de waarschuwing Erik, ik heb gelijk gekeken op mijn W 7 64, daar staat de 5.1 build 243 en 5.1.2.243.
De oude versie staat nergens.
Ik heb geen No Script in Chrome staan, dat vond ik met FF al zo'n gedoe.
Ben het eens met Anoniem , Met Arial, Courier New, en Times New Roman ben ik allang tevreden.
Voor mij hoeven ook al die toetsers en bellen niet.
25-07-2015, 09:42 door Anoniem
Die font renderer daar zijn al wel 100 van dit soort fouten in gevonden!
In die van Linux (X) ook trouwens. Alleen daar draait ie niet in de kernel. Met wat pech wel als root.
Kennelijk zijn er in dat vakgebied prutsers actief...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.