Exploits ontdekt voor JPEG-bug in Windows

Anderhalve week geleden meldden wij al dat er een bug gevonden was in de JPEG-implementatie van recente Windows-versies. Deze bug kan een buffer overrun veroorzaken wanneer hij uitgebuit wordt. Sinds afgelopen woensdag zijn er ook exploits beschikbaar voor deze bug, zo schrijft Computerworld. Via deze exploits kan een kwaadwillende gebruiker volledige controle verkrijgen over een Windows-machine, zo blijkt uit waarschuwingen van antivirusbedrijven en experts op het gebied van internetveiligheid. Uit onderzoek is gebleken dat de twee gepubliceerde exploits beide proof-of-concept-virussen zijn, wat betekent dat ze vooral bedoeld zijn om te laten zien wat echte virussen voor schade kunnen aanrichten als er misbruik wordt gemaakt van de genoemde JPEG-bug. Misbruik maken is overigens geen zaak voor scriptkiddies, zo meent een analist: "er is behoorlijk wat kennis nodig om werkende exploits te maken".

Virus, wormDe exploits maken een JPEG-bestand met daarin code om een overflow te veroorzaken in gdiplus.dll. De eerste exploit zal een commandprompt openen, wanneer een besmet JPEG-bestand bekeken wordt via Windows Explorer. De exploitcode kan gemakkelijk aangepast worden zodat er niet alleen een shell geopend wordt, maar ook bepaalde commando's uitgevoerd worden. De tweede exploit zorgt ervoor dat een nieuw beheerdersaccount toegevoegd wordt met de naam 'X'. Dit account kan vervolgens gebruikt worden door kwaadwillenden om allerlei leuke en minder leuke dingen te doen met de betreffende pc. Nieuwe exploits kunnen verspreid worden door corrupte JPEG-afbeeldingen te versturen via e-mail of te serveren op websites. Het is zelfs mogelijk om 'veilige' afbeeldingen dynamisch te besmetten op het moment dat ze door een webserver geserveerd worden.

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 25-09-2004 16:28 49

25-09-2004 • 16:28

49

Bron: Computerworld

Lees meer

Twee varianten 'Zotob'-worm losgebroken
Twee varianten 'Zotob'-worm losgebroken Nieuws van 15 augustus 2005
Drie kritieke Windows-patches in maandelijkse update
Drie kritieke Windows-patches in maandelijkse update Nieuws van 10 augustus 2005
Kritieke bug in Internet Explorer ontdekt
Kritieke bug in Internet Explorer ontdekt Nieuws van 1 juli 2005
Windows Media drm-features misbruikt door trojan
Windows Media drm-features misbruikt door trojan Nieuws van 12 januari 2005
Nieuwe exploits voor Windows als kerstcadeau
Nieuwe exploits voor Windows als kerstcadeau Nieuws van 25 december 2004
Populaire browsers crashen door simpel scriptje
Populaire browsers crashen door simpel scriptje Nieuws van 30 november 2004
'Extreem kritieke' buffer-overflowbug iframes IE
'Extreem kritieke' buffer-overflowbug iframes IE Nieuws van 3 november 2004
SANS komt opnieuw met top-20 van veiligheidslekken
SANS komt opnieuw met top-20 van veiligheidslekken Nieuws van 9 oktober 2004
JPEG-exploit nu ook misbruikt via AOL messenger
JPEG-exploit nu ook misbruikt via AOL messenger Nieuws van 1 oktober 2004
Eerste echte JPEG-virus in het wild gesignaleerd
Eerste echte JPEG-virus in het wild gesignaleerd Nieuws van 28 september 2004
'JPEG of death'-hoax na 10 jaar werkelijkheid
'JPEG of death'-hoax na 10 jaar werkelijkheid Nieuws van 16 september 2004
Meer producten en artikelen
Bedrijfsnieuws

Reacties (49)

-Moderatie-faq
49
47
25
13
1
9
Wijzig sortering
Verwijderd 25 september 2004 16:46
Van tweakers.net verwacht ik toch altijd wat meer technische details/betere bewoordingen...

http://www.k-otik.com/exploits/09252004.JpegOfDeath.c.php
De exploitcode kan gemakkelijk aangepast worden zodat er niet alleen een shell geopend wordt, maar ook bepaalde commando's uitgevoerd worden.
Die kunnen al worden uitgevoerd, maar alleen lokaal waar je niet zoveel mee opschiet... Het gaat hierbij om bindshell (onhandig bij werkstations) of reverse connect (handig).

Met bovenstaande kunnen 99% van de scriptkiddies ook wel uit de voeten...
hellbringer @Verwijderd25 september 2004 16:51
Is dit gemaakt door een Nederlandse hacker? lijkt wel zo namelijk:
[quote]

if( !fout ) {
printf("Error: JPEG File %s Not Created!\n", argv[i-1]);
return(EXIT_FAILURE);
[/quote]
Verwijderd @hellbringer25 september 2004 16:57
fout staat voor "file out"...
dr kriebel 25 september 2004 18:04
Hier zijn wat voorbeelden en wat meer code:
http://www.securityfocus.com/bid/11173/exploit/

test plaatje:
http://www.securityfocus.com/data/vulnerabilities/exploits/crash-netsc ape.jpg

@Tijger
werkt trouwens ook niet bij mij, Firefox versie 1PR.
Met windows SP2. En ook niet met IE
Tijger @dr kriebel25 september 2004 18:23
Werkt niet, NAV geeft een access denied hierop en als NAV uitstaat gebeurt er niets.

XP SP2 met IE.
Superstudent @dr kriebel25 september 2004 18:29
Ik zie een zwart kruisje.
Winxp sp2 / firefox 0.9.3

Wat zou je normaal moeten zien dan?
dr kriebel @Superstudent25 september 2004 18:32
Volgens mij crashed je Netscape als je er vulnerable voor bent.
Maar als je up2date bent, heb je daar geen last van en zie je dus het plaatje. In dit geval een kruisje. Maar dat zou ook iets anders kunnen zijn, een foto o.i.d.
Mafkees @dr kriebel25 september 2004 21:05
Ik draai hier SP1 met FireFox 1.0 Preview Edition als standaard browser en ik krijg een kruisje te zien. 1.0 is er dus iig niet kwetsbaar voor :*)

Wanneer ik echter met IE de afbeelding bekijk, krijg ik het plaatje evengoed te zien, maar met een viruswaarschuwing.

Deze waarschuwing krijg ik :)

edit: network associates heeft deze informatie: vil.nai.com/vil/content/v_128461.htm
Proxy @Mafkees25 september 2004 23:25
Ik krijg helemaal niets te zien, niet met IE6 SP1, Mozilla firefox 0.9.3 en met opera 7.2x, naja, ik krijg een melding van de virusscanner, die dan het object al heeft geblokkeerd. Ik zie niet het plaatje, maar de browser/browsers crashen ook niet.
TwistedAnimator @dr kriebel25 september 2004 21:55
Mozilla 1.4 zonder/met virusscan actief > geen probleem
IE met virusscan actief > trojan melding
IE zonder virusscan > open-deur dag :P

XP SP2 :Y)
Verwijderd @dr kriebel25 september 2004 23:09
Norton Antivirus rapporteert Bloodhound.Exploit.13 op mijn systeem (win2000) iexplorer.
_JGC_ 25 september 2004 17:06
Voor mensen die denken dat Firefox of Mozilla niet lek is voor deze bug:
Mozilla en Firefox worden statisch gecompileerd bij het maken van een installer. Daarin zit statisch de buggy versie van deze DLL verwerkt, waardoor je ondanks updaten van je windows toch nog het lek op je systeem hebt zitten door het gebruiken van Firefox of Mozilla. Mozilla heeft het lek niet meer in de huidige versies zitten, omdat deze wederom statisch gebouwd zijn op een buildsysteem waar de JPEG bug al gefixt is.
Verwijderd @_JGC_25 september 2004 17:53
Volgens mij heb je met Firefox etc. geen last. Volgens http://arstechnica.com/news/posts/20040923-4227.html :
The good news is that browsers like Firefox and Opera as well as many other image viewing/managing programs are not vulnerable to this type of attack since they do not depend on the GDI+ for their JPEG decoding
s463042 @_JGC_25 september 2004 17:10
Hoe zit het met andere browsers, zoals (mpf) Opera?
Verwijderd 25 september 2004 16:31
Is er geen "test-plaatje" zodat we kunnen kijken of de bugfixes uit het vorige artikel op t.net echt werken?
Verwijderd @Verwijderd25 september 2004 18:53
Het lijkt me niet echt slim op een potentieel gevaarlijk bestand hier zo neer te plempen. Kwaadwillenden zouden met gemak kleine aanpassingen kunnen doorvoeren, waardoor het wél kwaadaardig wordt.
Verwijderd @Verwijderd25 september 2004 20:58
De kwaadwillenden zijn allang op de hoogte, het lijkt me geen bezwaar om de overige 99% dit ook even te melden.
Verwijderd 25 september 2004 16:37
ik vraag me nog steeds af wat ze bedoelen met volledige toegang tot je computer. is dat dat je c: kan bekijken of veranderen offzow iets. ik zie dat wel vaker staan heeft iemand daar wat meer over te zeggen.??
Teckna @Verwijderd25 september 2004 16:41
Volledige beheer over de computer betekent dat een 'hacker' alles op een computer, en meer kan doen zoals jij dat als een gebruiker doet. dus je c:\ bekijken, account aanmaken en beheren, maar ook je computer gebruiken voor Ddos attack's en verdere virusverspreidingen
Verwijderd @Verwijderd25 september 2004 16:44
er wordt mee bedoelt dat ze alles met je pc kunnen doen wat ze willen. dmv het uitvoeren van hun eigen code kunnen ze dingen doen als programma's starten/killen, files aanmaken/deleten/wijzigen, register wijzigingen, etc. oftewel alles wat je zelf zou kunnen doen. aan dat tweede exploit kun je zien dat ze bv. voor zichzelf een user account aan kunnen maken. dit zou het virus evt op kunnen sturen naar de schrijver, zodat die weet dat hij nu via dat account aan kan loggen op je pc en daar van alles mee doen.

[edit:] moet sneller leren typen ;) [/edit]
hellbringer @Verwijderd25 september 2004 16:46
Dit houd in dat degene die deze exploit gebruikt, alles kan doen op jouw PC wat jij normaal ook kan doen

- Dus op je C: schijf komen, daar bestand verwijderen, veranderen of aanmaken (met daarin een virus of trojan)
- Je e-mail bekijken die lokaal op je PC staat
- Wachtwoorden aanpassen
- Wachtwoorden achterhalen (d.m.v. keyloggers of via de 'handige' windows 'wachtwoorden opslaan' functie)
- Gebruikers aanmaken/verwijderen
- E-mail versturen onder jouw naam

edit:
Ja anders gaan we ff allemaal tegelijk het zelfde antwoord geven! :+
Verwijderd @Verwijderd25 september 2004 17:58
oftewel administrator rechten :)

zeg dat dan gewoon dan snapt iedereen het :|
pasta @Verwijderd25 september 2004 18:14
Als een gebruiker geen administrator rechten heeft dan kan een hacker die gebruik maakt van die exploit even veel als de gebruiker. Tenzij de hacker op een of andere manier het paswoord heeft weten te ontfutselen.
n4m3l355
@pasta26 september 2004 03:22
en hoeveel exploits zijn er wel niet om van gewone usr lvl naar adm te verkassen? je kan in een windows systeempje wel stellen dat zodra een gewone usr z'n rechten kwijt is dat de adm het ook wel is aangezien dat bijzonder weinig voorstelt. simpel voorbeeldje is bijv. shatter
ik heb toch altijd wel ontzag ervoor hoe creatief men is. en ik denk dat dit ook wel aantoont dat door veel proberen dat wat MS niet vrij wilt geven toch wel gevonden wordt en uiteindelijk het gevolg heeft dat die desbetreffende fouten die windows toch bevat misbruikt zullen worden. opensource is niet altijd de oplossing maar closed software zeker niet.
wat ik niet geheel snap is hoe het met de server side zit. er staat dat jpg'jes gewijzigd kunnen worden. is het zo dat er in de datastroom zelf dan extra data wordt toegevoegd, of wordt er op de server zelf data toegevoegd of hoe gebeurd dit? en als het via de server gaat is dit dan via de im/gd lib?
Chatslet @Verwijderd25 september 2004 18:37
Ik vraag me eigenlijk af of deze exploit ook nog met windows xp sp2 werkt wanneer Data Execution Prevention aan staat. Ik denk het haast niet...
pres_lincoln 25 september 2004 18:57
Toch raar, een minuut of 5 geleden crashte FF PR1 hier
(win XP SP2 met Kaspersky AV) toen ik het linkje van
dr kriebel ging testen.

Nu heb ik dat MS GDI+ (KB873374) gebeuren via windowsupdate gedownload en nu zie ik wel bij zowel IE als FF het kruisje en geen crash meer met FireFox.

Er staat toch dat FireFox hier geen probleem mee heeft,
of lees ik anders dan wat er staat ? :>
glvn 25 september 2004 18:42
Ik krijg een Zwart kruisje met een Norton AntiVirus warning voor Bloodhound Exploit :)

IE @ SP2
habbekrats @glvn25 september 2004 19:58
idem dito
NAV 2003 Bloodhound.exploit.13
ttiger 27 september 2004 08:39
Ter info, hier op het werk heb ik Windhoos 2000 met SP4, met virusscanner.
Met Firefox 0.9 zie ik het zwarte kruisje.
In IE 6 ook, maar met virusscanner waarschuwing: trojan found.
Verwijderd 28 september 2004 20:29
Ik krijg dus met IE en FF geen virusmelding, krijg gewoon het plaatje te zien, en ik krijg geen 'user x'.
Ik geloof dat hier helemaal niks aan de hand is.
Verwijderd 25 september 2004 22:01
Hier windows 2000 met IE 6, zonder virus scanner of wat.
Zie ook zwart kruisje, en gebeurt niks :9
Mafkees @Verwijderd25 september 2004 22:11
Waarschijnlijk gebeurd er met dit plaatje ook niets omdat het een test plaatje is :7 Met deze afbeelding kun je zien of je met virusscanner het "virus" detecteert of niet. Als je niets ziet MET virusscanner, zou ik je virusscanner eens updaten. Als dat laatste wel snor zit, is er niets aan de hand lijkt me :Y) Tenminste, dat lijkt me... Verbeter me als ik fout zit :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq