Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties
Bron: SecurityFocus

Nieuwe beveiligingsproblemen voor Winamp. De SecurityFocus mailinglist meldt dat de mediaspeler voor de tweede keer binnen drie maanden gevoelig is voor een buffer overflow. Standaard controleert Winamp bij het opstarten of er een nieuwe versie is uitgebracht, door te verbinden met de Winamp website. Echter, volgens de inzender van de exploit leidt een te grote respons van de server uiteindelijk tot een welbekende buffer overflow. De mogelijkheid is nog niet bevestigd door Nullsoft en een nieuwe versie van Winamp is ook nog niet uitgebracht. De auteur heeft een proof of concept aan zijn melding toegevoegd en geeft ook een levendige illustratie van hoe een typische aanval zou verlopen, waarvan hier een korte samenvatting:

  • Attacker poisons nameserver cache
  • Victim is now resolving www.winamp.com to attacker machine.
  • Attacker fires up exploit as web daemon
  • Attacker waits for connect-back by exploit
  • Foolish winamp user opens winamp! Opens winamp, prepares for The Weather Girls - It's Raining Men.mp3
  • BOOJAH!
Winamp logo

Overigens lijkt het aannemelijk dat het uitschakelen van de optie 'Check for new versions of Winamp at startup' afdoende zou moeten zijn om de exploit totaal nutteloos te maken.

Onze dank gaat uit naar Pacmania668 die de tip instuurde.

Moderatie-faq Wijzig weergave

Reacties (34)

Attacker poisons nameserver cache
Dit kun je toch ook alleen maar doen als je de persoon zijn hosts.sam kunt wijzigen? Op dat moment moet je of:
A. de persoon kennen en zeggen dat ie het moet doen?
B. een trojan hebben geinstalleerd zodat je het kunt vervangen.

Bij A. doe je zoiets niet, en bij B. zou je dan niet meer via winamp gaan plaren als je toch al die trojan er hebt staan.
Of zie ik nu iets over het hoofd?
[technisch geblaat]
voorzover ik weet is hosts.sam zoals de naam al zegt een sample, om een werkend hosts bestand onder windows te krijgen moet je de extensie verwijderen.
[/technisch geblaat]
yep hosts.sam is een voorbeeld bestand voor windows zodat je daar als je zou willen in een bestand genaamd "hosts" een soort dns lookup van te maken
maar dit heeft niks te maken met de cache van een dns server

het bestand hosts is als extratje te gebruiken om een ip te verbinden aan een zelfbedacht dns naam zo kun je bv het ip van de microsoft server verbinden aan www.microshit.lul zodat als je dat als url gebruikt je op www.microsoft.com komt

maar dit werkt dan natuurlijk alleen op de pc waar dat hosts bestand gemaakt is en dat juist die windows waar het bestand is neer gezet word geladen

maar ja dat is dus iets totaal anders als de dns cache van een dns server (hoewel in de dns chache staan natuurlijk wel van dit soort verbindingen (dns naam en ip)
Of simpel gezegd: je hackt de dns server van chello en zorgt ervoor dat winamp.com verkeerd in de dns cache (is wat anders dan een hosts bestandje) terecht komt. Dan heb je meteen een hele hoop slachtoffers.
Als je die nameserver dan toch aan het hacken bent dan zijn er nog duizend en één exploits die je kan doen. Je kunt dan bakken fake websites maken je kunt heel veel andere protocollen overhalen om ze te laten inloggen bij jouw zodat je naam en wachtwoord krijgt. Oftewel, dat eerste regeltje maakt deze exploit al vrijwel onbruikbaar, aangezien dat eerste regeltje al een veel grotere exploit opzich is die wel goed beveiligd is (over het algemeen).
Helaas is er dus recentelijk een remote bugje in BIND gevonden. Dus van dat laatste zou ik nog niet zo zeker van zijn. Dit is zeker niet onmogelijk. Een heleboel BIND versies zijn lek.

..of je installeert natuurlijk DJBDNS.. (zelfde maker als Qmail).

Zijn verder nog zat andere alternatieven voor BIND maar zo lang daar geen ports van zijn en ze niet ctief als alternatief worden aanbevolen door distributeurs dan blijft men BIND usen |:(
Dat je degene moet kennen od beschikking zou moeten hebben over een andere Trojan is dus absoluut niet waar, door de overflow is het mogelijk om willekeurige code te laten uitvoeren door winamp, code die dus bijvoorbeeld in staat is om een verkeerde dns entry te genereren voor winamp.com. Dat is nu juist de reden dat buffer overflows gevaarlijke fouten zijn (en overigens ontzettend simpel te vermijden door defensies te programmeren).

Op een developpers site van IBM staat ergens een erg interressant verhaal over dit soort exploits, kan de url zo snel niet vinden, maar zeker de moeite waard.
door de overflow is het mogelijk om willekeurige code te laten uitvoeren door winamp, code die dus bijvoorbeeld in staat is om een verkeerde dns entry te genereren voor winamp.com.
En om winamp die eerste code uit te laten voeren (waarmee jij die verkeerde dns mogelijk wil maken), moet je dus een verkeerde dns entry hebben gecreeerd, om die exploit uit te kunnen buiten.
:Y)
Andere mogelijkheid is gewoon Winamp.exe aanpassen, wat de ontdekker van de exploit in het bronartikel ook aangeeft. Hij heeft Winamp.exes gemaakt waar www.winamp.com is vervangen door een andere site. Dit zou vrij eenvoudig te verspreiden zijn: een 'plugin' voor Winamp die de exe aanpast, of hem verspreiden onder het mom van dat het een nieuwe versie is. Zo'n aangepaste exe kan zichzelf, mits slim gedaan, enorm snel verspreiden.

Het is dus niet per se nodig om DNS servers te hacken, met een aangepaste winamp executable en wat slimme 'marketing' kom je er ook. Beetje creatief denken mensen ;)
Als je een andere .exe verspreidt, heb je ook geen bufferoverflow nodig en daar gaat dit hele topic nou juist over
Dit was toch wat 2.80 heel snel met zich meebracht?
Toen hebben ze razendsnel een 2.80A uitgebracht onder de naam 2.80, te snel dus heeft niet geholpen.
Ik hoop wel ff dat ze versie 2 tegen het einde helemaal vrij is van dat soort dingen, want 3 zie ik nog niet zo zitten...
Foolish winamp user opens winamp! Opens winamp, prepares for The Weather Girls - It's Raining Men.mp3
Foolish winamp users?!
Dit slaat natuurlijk helemaal nergens op. Winamp is gewoon 1 van de betere mp3-players. Toevallig zijn er in 3 maanden 2 (ja, wel 2!) exploits gevonden en meteen ben je foolish als je winamp gebruikt.

Ik geloof dat de ontdekker van de exploit een lichtelijk gefrustreerd leven lijdt. Ach ja :)

Sorry als dit lichtelijk als flame overkomt, maar alle winamp-users "foolish" noemen, noem ik een flame, die ik even wilde bestrijden.. :)
de hacker bedoelt niet dat een Winamp gebruiker een fool is.. Hij bedoelt dat een 'foolish' Winamp-user (dus een newbie) erin trapt als het vanaf de verkeerde site afkomstig is.

Overigens: Als de andere site een beetje goed is, zou vrijwel iedereen erin kunnen trappen. Niet alleen een fool
daarom zeg ik, download winamp enkel van winamp.com, is de kans kleiner (miniem) dat je een gehackte winamp krijgt....
Je snapt het dus niet..


De exploit gaat er vanuit dat de hacker reeds bezit heeft genomen van een DNS-server. Als jij dan in je browsertje 'www.winamp.com' intypt, kom je terecht bij de ANDERE site.

De exploit is natuurlijk errug flauw, gezien het feit dat je eerst de DNS-server moet hacken, dat is nogal moeilijk..

Het is een beetje van het niveau:

Ik heb uitgevonden hoe je de absolute wereldheerschappij kunt krijgen, simpel:

a) Je steelt alle atomaire wapens in de wereld en zet je bij je neer in de tuin, en verschant je in die bunker die je ook hebt

b) Je belt de G7 landen op om ze in te lichten over je nieuw verworven wapentuig en je eisen. Voila, jij bent de baas van de wereld.

Het recept is uiterst makkelijk, maar de uitvoering een stuk moeilijker. Zo is het ook bij deze winamp-exploit: Voordat je een DNS-server hebt gehacked, ben je in mijn ogen al zo'n groot hacker dat je niet veel moeite meer hebt om andere, veel lucratievere dingen te hacken.
Je moet wel eerst dus "even" een DNS server hacken. En als je dat hebt gedaan, zijn er interessantere dingen te doen dan Winamp laten crashen. Thuisbankier-sites, hotmail, autoupdate van kazaa etc.
Ik mag hopen dat je dat thuisbankieren via SSL doet, en dan krijg je dus meteen een waarschuwing als blijkt dat het certificaat van de server niet klopt.

Maar sites als Hotmail en dergelijken leveren wellicht aardig wat user/pass combinaties op...
Het lijkt dus heel gemakkelijk om dit te voorkomen:

1. Klik met rechts op een leeg gedeelte (plekje zonder bepaalde functie) in Winamp, of klik met rechts op Winamp in de taakbalk en kies Winamp.

2. Ga naar opties en voorkeuren.

3. Klik links op de categorie Setup.

4. Selecteer bij Internet instellingen dat er geen internetverbinding beschikbaar is. Zet ook beide opties daaronder (zoek nieuwe versie en laat anoniem verslag doen) uit, haal het vinkje hier dus weg.

5. Klik op sluiten en sluit tevens de minibrowser en herstart nu Winamp.


Je zou denken, wat een gedoe. Het hoeft ook niet persé hoor, maar als je nou opeens verontrust bent door die twee beveiligingsfouten moet je het gewoon maar ff doen. Vergeet niet dat Winamp 's werelds populairste mp3 speler is, de makers hier heel veel tijd aan besteden en dat het nog gratis is ook zonder reclame e.d. Niet om het goed te praten, maar het is wel zo. Het is ook nog steeds zonder spyware, etc.

Los van de beveiligingsfout: als je vaak foutmeldingen krijgt kan je ook bovenstaande handelingen proberen. Via mijn site beantwoord ik vragen van Winamp gebruikers en die melden dat na het uitschakelen van de internetfunctionaliteit van Winamp het programma daarna beter werkt (voor hun situatie dan).
Kunnen ze nou niet eens een goed werkende media player maken :(
Maar goed dat ik altijd de "check for new versions at startup" optie uitschakel :)
Winamp werkt toch ook goed, zit alleen een foutje in (vast nog wel meer dan 1), elke stukje software bevat fouten.
Ook andere dingen in het dagelijksleven bevatten fouten, fouten maken is menselijk
En dit is nummer 1 standaard reaktie. (Beste stuurmannen staan aan wal) Ik bouw zelf ook software en een fout vind ik absoluut niet erg. Zoals bij het autochecken voor een update (wat ik overgens ook gebruik in me software) zou ik echt nooit aan zo'n aktie gedacht hebben. Als je www.winamp.com opvraagt verwacht je dat je eigen webserver geconnect wordt, je denkt niet erbij na dat iemand met een DNS server gaat kloten of in HOSTS file gaat zitten kloten.
* 786562 Kara
Overigens lijkt het aannemelijk dat het uitschakelen van de optie 'Check for new versions of Winamp at startup' afdoende zou moeten zijn om de exploit totaal nutteloos te maken.
Is de 'homepage' van de Minibrowser ook niet www.winamp.com/(vulmaarietsin)? Zo ja, dan zou ik die ook maar uitzetten
De minibrowser gebruikt gewoon het microsoft internet explorer component.
Nounou. Dat is wel spannend zeg. Ik use de nameservers van Xs4all. Doe je best kiddo's!

Serieus. Dit lijkt erger dan het is hoewel recentelijk BIND lek is bevonden dat misschien wel interessant is te vermelden. Quick fix: Auto-update uit & you're fixed. Hoewel: minibrowser?
Of gewoon instellen dat je GEEN internet verbinding hebt, ben je overal vanaf.
Tjah wie maakt zich over zoiets nog druk tegenwoordig :7
Precies... als je een nameserver hackt kan ik wel leukere exploits bedenken dan winamp usertjes lastig vallen..
Er zijn echter miljoenen (?) mensen op de wereld die Winamp gebruiken. Er van uitgaande dat de meeste users nooit naar de settings kijken en 'check for newer version on startup' gewoon aan hebben staan...

Dan heb je dus met zo'n exploit miljoenen slachtoffers.
Reken maar dat er een paar (duizend) mensen zijn die het erg leuk vinden als al die mensen slachtoffer worden van hun gehack, hoe klein de schade ook maar is.
Klopt.. het is natuurlijk goed dat die fout ontdekt word.. maar je kan ook bv. Passport accounts stelen.... (incl. eventueele creditcard nummer).
ik geef niet voor niets op "no internet conection aviable" en dat doe ik bij ieder programma, als je een nieuwe versie nodig hebt zoek je die zelf wel. zo voorkom je zulke bugs, waarvan je lang kunt zoeken waar het vandaan komt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True