Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 54 reacties
Bron: WebWereld

Ik lees bij WebWereld dat Microsoft's Frontpage een backdoor bevat waardoor gebruikers na het intypen van een trieste code die Netscapers voor 'weenies' uitmaakt toegang kunnen krijgen tot beveiligde gedeeltes van websites, zoals admin files e.d. De oplossing voor dit probleem is het verwijderen van het bestand 'dvwssr.dll'.

Het lek is ontdekt door twee beveiligingsexperts. Deel van de code is de denigrerende opmerking: 'Netscape engineers are weenies!'. Kennelijk is de code geschreven door een softwareontwikkelaar van Microsoft ten tijde van de strijd tussen Microsoft IE en Netscape.

Microsoft zal al haar klanten binnenkort per e-mail waarschuwen. De eenvoudigste oplossing is het verwijderen van het bestand 'dvwssr.dll'. Dit bestand bevat de code en is deel van de Frontpage 98 serverextensies. Volgens Lipner zullen schuldige softwaremakers worden gestraft en wellicht ontslagen.

Het is niet bekend of ooit gebruik is gemaakt van het gat. Een hacker kan via deze 'backdoor' toegang krijgen tot de beheerskant van de website. Zo kan ook toegang worden verkregen tot bestanden met gegevens van sitegebruikers.

Bedankt The Ghost voor de tip.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (54)

1 2 3 ... 6
Nou, code....

Meer in de stringtable dat deze opmerking staat. Laadt de file in notepad en ziedaar! :). Deze dll doet overigens niets op runtime gebied, het is een fetcher voor source voor de linkviewer/checker van frontpage. Productiewebsites zouden geen frontpage extensions moeten gebruiken, je hebt dan geen last van deze dll. Weghalen kan gewoon, je website heeft dan geen problemen.

Wat ik me WEL afvraag: de WSJ meldde dit als eerste, elk zelf respecterende newssite copieert dat dan vlugtig, echter... waar zit de backdoor? een stringetje, tussen de andere strings in een dll, tja... heeft iemand de (1K grote) code al gedisassembleerd? ik ben niet zo goed in x86 asm, dus er naar kijken heeft voor mij niet zoveel zin. Ik ben zeer benieuwd of iemand kan aantonen of in de 1K grote code van de file zelf wordt gerefereerd naar de string.

De security checking zelf wordt gedaan door ACL's op de dll zelf. Het is daarom raar dat er uberhaupt een password in zit, er is geen password checkfunctie namelijk.
Masta-T: mja, alleen.. MS frontpage extensions is ECHT gratis.

Tuurlijk is achterklap triest. Maar dit komt elke dag voor.

Terug naar de realiteit: via mijn debugprocesje (CGIWRAP example in de iisexample dir) die de dll called, kom ik in de code terecht van de dll, ik check op de plek waar de desbetreffende tekst staat, staat de tekst ineens GOED in memory! weird, maar goed. ik keek naar code die checkt op de string. (De HttpExtensionsProc functie die aangeroepen wordt in de dll krijgt een struct mee met allerlei data en functionpointers). Dat wordt WEL DEGELIJK gedaan. er zit dus een check in op de desbetreffende string. Nu nog uitvogelen welke parameter van het struct dit is... Where is JeroenB when you need 'em :)
Hij komt hier:
</div><div class=b4>
581811F7 mov ebx,eax
581811F9 push 58183018h
581811FE call ebp
58181200 mov ecx,eax
58181202 sub edx,edx
</div><div class=b1>
op 58183018 staat de netscape text. in ebp zit dan: 77e97334.
77E97334 push ebp
77E97335 mov ebp,esp
77E97337 push 0FFh
77E97339 push 77E97390h
77E9733E push 77EA13FDh
77E97343 mov eax,fs:[00000000]
77E97349 push eax
77E9734A mov dword ptr fs:[0],esp
77E97351 push ecx
77E97352 push ecx
77E97353 push ebx
77E97354 push esi
77E97355 push edi
77E97356 mov dword ptr \[ebp-18h],esp
77E97359 mov edi,dword ptr \[ebp+8]
77E9735C test edi,edi
77E9735E je 77E9E391
77E97364 and dword ptr \[ebp-4],0
77E97368 or ecx,0FFh
77E9736B xor eax,eax
77E9736D repne scas byte ptr [edi]
77E9736F not ecx
77E97371 dec ecx
77E97372 or dword ptr \[ebp-4],0FFh
77E97376 mov eax,ecx
77E97378 mov ecx,dword ptr \[ebp-10h]
77E9737B mov dword ptr fs:[0],ecx
77E97382 pop edi
77E97383 pop esi
77E97384 pop ebx
77E97385 leave
77E97386 ret 4
Onno, wat doet dit? strcmp?
YES dit gaat de betere kant op eerst heeft Bill Gates zichzelf een lagere functie gegeven zodat WATJE himself uit het vuur blijft. Crasht Office 2000 zo van je PC. Heeft Win2K nog steeds weinig driver support, Internet Exploder zich amper aan de W3C regels houd, en nu gaan ze frontpage ook nog naar de verdoemenis brengen (zover als dat nog kon).

btw. waarom loopt iedereen hier nog te klagen ook Frontpage is al niet zo goed als HTML editor (onze grote eige code vernaggelaar).

Nee blijf ik lekker Dreamweaver gebruiken, samen met netscape. Gelukkig maak ik nog altijd net als Femme Netscape recommended websites :)
</div><div class=b4>Hij gebruikt die string als static key voor het crypten/decrypten</div><div class=b1>
Mja... zover was ik ook al wel. :)

</div><div class=b4>van het password.</div><div class=b1>
Huh? Het gaat toch om de bestandsnaam?

De uitleg van RFP is erg summier, aan het scriptje heb je meer. (en aan disassemblen het meest :D)

Ik vraag me trouwens af met wat voor compiler die DLL gemaakt is, want die code is echt :r.
Sjongejonge... hebben die programmeurs echt niets beters te doen als Easter Eggs en backdoors te programmeren. Laten ze stabiele software ontwikkelen....

* DF040F Mobster
oh mijn GOD :D

Wat een apocolypse.
:) Ziek hoor, een gat in je beveiliging door het uitmaken van je concullega's voor weenies. :)

Hoeveel reacties gaat dit weer opleveren ?

Microsoft VS Netscape, geeft altijd leuke discussies.
DIT IS COOL!!!

Vette grap!

Alleen jammer dat er daardoorheen nog een backdoor zit :( Als je een m$ easter egg zou moeten activeren door deze code zou het wel cool wezen!
[scheldmode]
het zijn wel weer een stel klootzakken bij microsoft.
[/scheldmode]

zo zie je maar hoe laag die mensen zijn
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True