Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 91 reacties
Bron: Heise Online

Hacker klein Opnieuw is er een veiligheidslek in Windows XP ontdekt, waardoor exploits onopgemerkt in het systeem kunnen overleven door zich te vermommen als mappen. Het is voldoende om de exploit de extensie .folder mee te geven waardoor het icoontje wordt veranderd in een map, zo lezen we op Heise Online. Een dubbelklik op de map opent wat HTML-data en Javascript, waarin een .exe verstopt zit die vervolgens uitgevoerd wordt. Het lek blijkt niet alleen gevaarlijk in Windows Explorer, ook in zipprogramma's zoals Winzip worden de icoontjes van de exploits als map weergegeven.

Moderatie-faq Wijzig weergave

Reacties (91)

Ik heb net met regedit even HKEY_CLASSES_ROOT/.folder verwijderd. Vervolgens kent ie het bestandstype niet meer en zie je geen foldericoontje meer. Simpel eigenlijk.
Bij de echte mappen zie je dus ook geen icoontje meer? Zoja, dan is het geen nette oplossing natuurlijk.

.url en .lnk leveren ook rare situaties op trouwens.
heeft dit geen consequenties ? want als dit werkt ga ik dit straks meteen ff proberen , want mijn NA is ook up-to-date maar ziet ze niet.
Enkele voor mij merkten al op, dat de "gecloakte" file, slechts het icoon van een folder krijgt, en niet echt een folder wordt.


Dat lijkt in eerste instantie minder erg, maar dat zal nogal wel eens anders uit kunnen pakken.


In de meeste gevallen zit er namelijk een gemiddelde gebruiker achter de pc.

Deze "gemiddelde gebruiker":

1. Heeft vaak alle opties om meer informatie over files/folders in Explorer uit staan (Met als gevleugelde argumentatie: "dat snap ik toch niet, dus ook niet nodig" ;( )

2. Heeft vaak alleen oog voor icoontje + naam *klik*

3. Heeft vaak een oudere of nog niet volledige geupdate virusscanner

4. Logt in met "administrator-privileges"


Wat ook redelijk naar is, is dat veel gebruikers inmiddels doorhebben dat e-mail die .scr of .exe attachments heeft vaak foute boel is, maar dat zij .zip juist volledig vertrouwen (.zip als bestand, niet de inhoud)

Dit komt mede omdat recente versies van Outlook (Express) dat soort foute attachments standaard blokkeert, zodat veel mensen dat soort bestanden per .zip doorsturen.

Wanneer zij deze dus "openen" (wat makkelijker is dan éérst opslaan, en dan uitpakken) en eventuele mappen doorbladeren, kunnen ze al de direct de spreekwoordelijke lul zijn.


Ik wacht af...
Inderdaad, het is ellendig.
Maar volgens mij is het nog ellendiger: het lijkt er namelijk op dat er helemaal een administrator priviliges nodig zijn om gevaarlijke dingen te kunnen doen (registry editen e.d.).

Ik laat mijn familie als restricted user werken, maar eigenlijk vind ik het heel irritant, je loopt gauw tegen dingen aan die niet mogen waarvan je denkt "waarom moet je daar in godsnaam admin voor zijn".

Tegelijkertijd kunnen de restricted users dingen op het filesystem of met m'n registry waar ik totaal niet blij mee ben. En dat "niet blij" is zacht uitgedrukt...

Ik begrijp dat "evil software" als virussen en worms ook gebruik kunnen maken van lekken in de software, zoals bij blaster, maar een deel van de beveiliging ligt ook in usermanagement... ik snap er niks van bij windows, restricted users moeten wat mij betreft alleen in hun homedir kunnen schrijven.
Het is me nog steeds een raadsel waarom "Hide extensions for known file types" standaard aanstaat. Ik irriteer me dood als ik die extensies niet kan zien. Ik zie gewoon alle extensies en dus ook zo'n lompe .folder.

En het gevaar hieraan zie ik niet. Ik kan ook m'n eigen .exe met virus compilen, en bij het compilen gewoon een foldericoontje meegeven?

.exe is tenslotte ook een known file type..
Dat is nog niet zo erg, die optie zet ik gewoon aan, waar ik mij zo aan irriteer is dat windows nog steeds niet alle extensies laan zien! Verander de extensie van een bestand maar naar .mydocs en voila, je ziet de extensie niet meer en kan je het ook niet wijzigen via explorer.
De reden dat de extensie regegistreerd staat als map komt door een nieuwe functie in windows XP, waarbij je voor folders, drives en cd's standaard acties kunt instellen op de zelfde manier als bij gewone bestandstypen.

Je kunt ook de volgende extensies gebruiken voor iets vergelijkbaars:
.dvd
.audiocd
.mapimail
.mydocs


En een bug wil ik het niet direct noemen. Als je een bestand hernoemd naar .doc wordt tenslotte ook Word gestart.
Neem aan dat een goede scanner hier mee om kan gaan, meeste virussen / exploids gebruiken andere of meerdere extensies om hun ware aard te verdoezelen?

<edit>
@eenmadcat: dat hoopte ik ook, het lijkt een weergaveprobleem in Windows, een goede scanner zou de ware aard moeten zien. Als dat niet zo is gaat de simpele gebruiker voor schut.
</edit>
Dat is maar de vraag.
Als het een fout is in het bestand systeem of in het "interface.
Als het een groffe fout is in het bestand systeem heb je een goede kans dat de scanner alle "bestanden" scanned.
Een folder zelf is geen bestand maar een hierachische verdeling...
De viruskiller scant dus en krijgt van windowsXP bestandsysteem te horen dat het een "Folder" is ....(hoogst waarschijnlijk zonder inhoud) Als gevolg heb je best kans dat de virus scanner de "neppe" map overslaat.

Hopelijk werden folders altijd al als bestanden gezien/herkend door virus killers die dit op tijd net als een executable kunnen scannen.

De eind gebruikers moeten vanaf nu dus niet alleen op .VBS .EXE .COM extenties letten maar ook nog eens op folders zelf .. dat maakt het wel allemaal wat lastiger om aan jan-alleman uit te leggen :(
Je moet wel bedenken dat het bestands systeem echt niet zegt dat een bestand met de extensie .Folder, dat het dan als een Folder word gezien, alleen is het dus zo dat Microsofts Explorer het weergeeft alsof het een folder is.

Een virus scanner roept dood leuk een API call aan die het .folder bestand gewoon zal listen als zijnde een bestand.
de vraag is dan ook of de API call de zelfde fout maakt als Microsoft Explorer ?

(stel nou dat microsoft explorer namelijk zelf gebruik maakt van de zelfde API dan heb je mischien een veel groot schaliger probleem dan eerst gedacht. Zeker als veel meer aplicaties ,inclusief virus killers, dat ook doen! )
Ik denk dat het niet zo simpel is...

Als je in je antivirus-scanner niet heb ingesteld dat ie alle bestanden moet scannen, ongeacht de extensie, zal ie alleen maar de bekende extensies nemen.

Dat wil dus zeggen dat ie doodleuk elke .folder links laat liggen.

Er zal wel een update voor uitkomen, maar het blijft een van-de-pot-gerukt-zo-stomme fout.
Als je in je antivirus-scanner niet heb ingesteld dat ie alle bestanden moet scannen, ongeacht de extensie, zal ie alleen maar de bekende extensies nemen.
Ten eerste hoor je eigenlijk je scanner ingesteld te hebben op "scan alle bestanden" tenzij je een trage pc hebt. Ten tweede: Windows kan dat bestand wel zien als een folder, op het moment dat er een javascript word gestart hoort je virusscanner dit op te pikken. Als er tenslotte door dat java script een .exe (executable) kan worden gestart zonder dat deze door de real-time scanner word opgepikt kan ik je dringend adviseren een andere virusscanner te nemen!

Ik zie het probleem niet. Alleen onwetende gebruikers die alle bijlagen gewoon openen hebben hier last van, maar die openen een .exe ook gewoon dus dat maakt niet zoveel. (okee, sommige progsels laten je wel een map openen en geen bestand, maar dat komt weer neer op punt 2).

* 786562 Mecallie
Er komt helemaal geen virus aan te pas. Het punt is dat je een willekeurig programma kunt schrijven (geen gekend virus dat herkend wordt door je virusscanner), dat opgestart wordt op het moment dat de gebruiker een schijnbaar veilige actie onderneemt (een map opent).

M.a.w, dit is uiterst gevaarlijk! Tot de virusscanners zijn aangepast om bestanden die eindigen op '.folder' en Javascript bevatten, tegen te houden.
Mecallie heeft genoeg aan een goede firewall en common sence. (1 jaar virus-vrij!)
1 jaar virusvrij kan je dus niet met 100 procent zekerheid zeggen. je weet nooit wat er allemaal op je pc is geinstalleerd voor rotzooi
Een folder zelf is geen bestand maar een hierachische verdeling
Onzin, een directory is net zo goed een bestand als elk ander, alleen je ziet ze niet zo. Een folder iets niets meer dan een index van alle bestanden die erin zitten (ff kort door de bocht dan). Bovendien kun je van een bestand nooit een folder maken, en al helemáál niet door de extensie te veranderen. Vandaar dat het een uitvoerbaar bestand wordt, want de windows explorer "opent" (als in execute) een folder als je erop dubbelklikt, net als wanneer je het volledig pad ernaar in start|uitvoeren inklopt.
K.C., juist dat soort aannames zijn hardstikke gevaarlijk en kortzichtig! Als het security betreft moet je nooit zomaar dingen gaan veronderstellen of aannemen dat het wel goed komt!!!
Het nadeel is dat de updateronde van deze maand al is geweest en dat het risico bestaat dat Microsoft dit niet als bug ziet en geen fix voor uitbrengt.

Op zijn vroegst zal er denk ik over 3 weken een fix zijn.
Het nadeel is dat de updateronde van deze maand al is geweest en dat het risico bestaat dat Microsoft dit niet als bug ziet en geen fix voor uitbrengt.
Het is nog maar de vraag of we het hier over een bug hebben, het gaat namelijk om standaard functionaliteit. In weze is dat vergelijkbaar met een programma een ander icoontje en naam geven. Dat kan een misleidend effect hebben maar om nou van een bug te spreken...
Dacht je nou echt dat Microsoft wacht met het uitbrengen van een fix totdat de volgende ronde, volgens jou over 3 weken, komt?

Lijkt mij wel heel erg sterk. Als het een serieuze bug is, komen ze echt wel eerder met een fix. Zeker nu het verhaal op internet is gekomen, zullen er heel veel "irritante etterbakken" dit gaan uit proberen. Dus is het, in mijn ogen, een serieuze bug die ze echt wel eerder op gaan lossen.
Microsoft heeft vorig jaar aangegeven dat ze niet constant patches blijven uitgeven om te voorkomen dat er straks te vaak patches uitkomen.

En ja: het zal niet de eerste keer zijn dat Microsoft een ruime tijd wacht totdat ze patches ergens voor uitbrengen.
Hoezo dit is erg slecht? Logisch toch? Als'k m'n executable .doc noem wordt het icoontje ook eentje van Word hoor, ook als het een .exe was.
Dit wordt nu wel gerunt maar met een waarschuwing.. dus sjah.
Mensen moeten gewoon eens leren om die hide known file extentions uit te zetten. Komt al die onzin der niemeer door.
Nee, er komt geen waarschuwing. Probeer de volgende link maar eens:

http://www.malware.com/my.pics.zip

De "folder" die in de zip zit is er zo eentje. Klik erop en je zult zien dat er een EXE opgestart wordt zonder dat er een waarschuwing gegeven wordt.
Executable ????.....
Waarom zeg je er gelijk niet ff bij dat het een virus is.
Mensen moeten gewoon eens leren om die hide known file extentions uit te zetten. Komt al die onzin der niemeer door.
microsoft moet dit gewoon standaard goed zetten, en juist niet bekende extensies verbergen. Daardoor komt nu juist al dit soort ellende.

De slimme mensen zien direct dat ze de extensies missen, de wat minder slimmen snappen als dit eenmaal goed staat dat ze bij een virus met dubbele extensie of, nu met die .folder dat dit vreemd id en krijgen argwaan. Maar je hebt dus ook massa's mensen die er de ballen verstand van hebben en die gaan nu juist de boot in met deze ongein. Alle waarschuwingen om te letten op de extensie zegt deze mensen niets, omdat ze die namelijk niet zien!
goh dat is best wel slim, ik wist niet dat windows directories, de extentie .folder gaf. beetje dom ook wel van MS,omdat er in het file systeem daar een apart bitje voor gereserveerd is. waaarom gebruiken ze die niet.

net even geprobeerd, en in total commander krijg ik wel een map icoontje, maar hij laat het wel netjes als file zien, en ziet het zelf dus niet als directory.

hopen dat er snel een patch is.

@K.C virus scanners kunnen dit heel makkelijk controleren, door gewoon de standaard te gebruiken. en dus het directory bitje uit te lezen, nogmaals deze "exploit" laat alleen een ander icontje zien, en total commander en waarschijnlijk andere filebrowsers zijn hier minder/niet vatbaar voor, het geeft alleen een ander icoon'tje
in gewone Explorer ff een txt file renamed naar *.txt.folder, krijg een security melding met de vraag of ik zeker ben dat ik dit bestand wil openen "because they can harm your system (je kent het wel)"
Dus eh, ie ziet het wel als een bestand hier, alleen, als ik yes klik komt die melding gewoon terug, het bestand ook echt openen doet ie niet. :?
Juist! Ik heb hetzelfde geintje ook net even geprobeerd maar dan met een exe bestand. "regsvr32.exe" gerenamed naar "regsvr32.folder" en daarop vervolgens gedubbelklikt. Windows vraagt netjes of het bestand wel geopend/saved/etc. moet worden. Hiermee lijkt het me voldoende afgedekt. Maar goed, ik zal wel iets over het hoofd zien wat de Duitsers wel gezien hebben???

Hmm .. na wat op de site te hebben zitten pielen zie ik dat men dit zelf ook al zegt. Je kunt niet direct een EXE opstarten, echter door er wat mee te pielen (html/javascript zooi) lukt het wel om een EXE op te starten ..
je windows ziet het ook niet als mapje.. iig je kan het niet openen.. net ff een file gerenamed.. maar hij maakt er alleen een icoontje van een map van.
En als wat in de originele reactie stond waar was zou ik nu achter elke folder ".folder"moeten zien staan, aangezien ik "Hide known extensions" uit heb. Als ik een bestandje met bv. HTML erin aanmaak en hier .folder achter zet, zie ik die extensie gewoon.

Als ik 'm open start Internet Explorer. Aangezien je dit lokaal (vanaf je eigen schijf) opent, kan je veel meer dan als 'ie vanaf een website ingeladen zou worden. De vinder van deze fout heeft een exploit bijgevoegd die dat demonstreerd.
De exploit werkt alleen wanneer je een html bestand naar .folder renamed.

In dat geval zal windows het html bestand 'gewoon' in iexplore weergeven...
das ff handig dat ik dat nu weet kan ik een beetje voorzichtiger mapen openen en geen virussen krijgen want de mappen die ik niet ken gooi ik gewoon weg
hmmzzz... C:\WINNT, ik heb geen windows NT ik heb windows 2000, ... kut kan het niet verwijderen... dan maar onder dos :P
third post bedoel je :P
Mmmh, strax weer een windowssymbooltje in m'n tray... ?

Lijkt me wel een serieuze lek...
Vraag me af hoe snel MS d'r een antwoord op gaat hebben...
Volgens mij is die niet wat je een 'lek' noemt. En hoewel het wel een serieus probleem is zou ik het niet te snel als kritiek bestempelen, want je zal zo'n bestand wel op iemands computer moeten kunnen krijgen. En als je dat kan, kan je mogelijk sowieso al dingen executen. Misschien als mail-attachment. In combinatie met andere exploits kan het natuurlijk wel gevaarlijk zijn.
Is niet speciaal als kritiek bedoelt hoor... :)

Ik denk niet dat er ooit een Zeveneens OS gaat komen dus alle respect aan de mensen die dat zulke dingen kunnen maken.

Ik vraag me enkel af of het eenvoudig is om dit "gaatje in het systeem" te dichten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True