Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties
Bron: Computerworld

Anderhalve week geleden meldden wij al dat er een bug gevonden was in de JPEG-implementatie van recente Windows-versies. Deze bug kan een buffer overrun veroorzaken wanneer hij uitgebuit wordt. Sinds afgelopen woensdag zijn er ook exploits beschikbaar voor deze bug, zo schrijft Computerworld. Via deze exploits kan een kwaadwillende gebruiker volledige controle verkrijgen over een Windows-machine, zo blijkt uit waarschuwingen van antivirusbedrijven en experts op het gebied van internetveiligheid. Uit onderzoek is gebleken dat de twee gepubliceerde exploits beide proof-of-concept-virussen zijn, wat betekent dat ze vooral bedoeld zijn om te laten zien wat echte virussen voor schade kunnen aanrichten als er misbruik wordt gemaakt van de genoemde JPEG-bug. Misbruik maken is overigens geen zaak voor scriptkiddies, zo meent een analist: "er is behoorlijk wat kennis nodig om werkende exploits te maken".

Virus, wormDe exploits maken een JPEG-bestand met daarin code om een overflow te veroorzaken in gdiplus.dll. De eerste exploit zal een commandprompt openen, wanneer een besmet JPEG-bestand bekeken wordt via Windows Explorer. De exploitcode kan gemakkelijk aangepast worden zodat er niet alleen een shell geopend wordt, maar ook bepaalde commando's uitgevoerd worden. De tweede exploit zorgt ervoor dat een nieuw beheerdersaccount toegevoegd wordt met de naam 'X'. Dit account kan vervolgens gebruikt worden door kwaadwillenden om allerlei leuke en minder leuke dingen te doen met de betreffende pc. Nieuwe exploits kunnen verspreid worden door corrupte JPEG-afbeeldingen te versturen via e-mail of te serveren op websites. Het is zelfs mogelijk om 'veilige' afbeeldingen dynamisch te besmetten op het moment dat ze door een webserver geserveerd worden.

Moderatie-faq Wijzig weergave

Reacties (49)

Van tweakers.net verwacht ik toch altijd wat meer technische details/betere bewoordingen...

http://www.k-otik.com/exploits/09252004.JpegOfDeath.c.php
De exploitcode kan gemakkelijk aangepast worden zodat er niet alleen een shell geopend wordt, maar ook bepaalde commando's uitgevoerd worden.
Die kunnen al worden uitgevoerd, maar alleen lokaal waar je niet zoveel mee opschiet... Het gaat hierbij om bindshell (onhandig bij werkstations) of reverse connect (handig).

Met bovenstaande kunnen 99% van de scriptkiddies ook wel uit de voeten...
Is dit gemaakt door een Nederlandse hacker? lijkt wel zo namelijk:
[quote]

if( !fout ) {
printf("Error: JPEG File %s Not Created!\n", argv\[i-1]);
return(EXIT_FAILURE);
[/quote]
fout staat voor "file out"...
Hier zijn wat voorbeelden en wat meer code:
http://www.securityfocus.com/bid/11173/exploit/

test plaatje:
http://www.securityfocus.com/data/vulnerabilities/exploits/crash-netsc ape.jpg

@Tijger
werkt trouwens ook niet bij mij, Firefox versie 1PR.
Met windows SP2. En ook niet met IE
Werkt niet, NAV geeft een access denied hierop en als NAV uitstaat gebeurt er niets.

XP SP2 met IE.
Ik zie een zwart kruisje.
Winxp sp2 / firefox 0.9.3

Wat zou je normaal moeten zien dan?
Volgens mij crashed je Netscape als je er vulnerable voor bent.
Maar als je up2date bent, heb je daar geen last van en zie je dus het plaatje. In dit geval een kruisje. Maar dat zou ook iets anders kunnen zijn, een foto o.i.d.
Ik draai hier SP1 met FireFox 1.0 Preview Edition als standaard browser en ik krijg een kruisje te zien. 1.0 is er dus iig niet kwetsbaar voor :*)

Wanneer ik echter met IE de afbeelding bekijk, krijg ik het plaatje evengoed te zien, maar met een viruswaarschuwing.

Deze waarschuwing krijg ik :)

edit: network associates heeft deze informatie: vil.nai.com/vil/content/v_128461.htm
Ik krijg helemaal niets te zien, niet met IE6 SP1, Mozilla firefox 0.9.3 en met opera 7.2x, naja, ik krijg een melding van de virusscanner, die dan het object al heeft geblokkeerd. Ik zie niet het plaatje, maar de browser/browsers crashen ook niet.
Mozilla 1.4 zonder/met virusscan actief > geen probleem
IE met virusscan actief > trojan melding
IE zonder virusscan > open-deur dag :P

XP SP2 :Y)
Norton Antivirus rapporteert Bloodhound.Exploit.13 op mijn systeem (win2000) iexplorer.
Voor mensen die denken dat Firefox of Mozilla niet lek is voor deze bug:
Mozilla en Firefox worden statisch gecompileerd bij het maken van een installer. Daarin zit statisch de buggy versie van deze DLL verwerkt, waardoor je ondanks updaten van je windows toch nog het lek op je systeem hebt zitten door het gebruiken van Firefox of Mozilla. Mozilla heeft het lek niet meer in de huidige versies zitten, omdat deze wederom statisch gebouwd zijn op een buildsysteem waar de JPEG bug al gefixt is.
Volgens mij heb je met Firefox etc. geen last. Volgens http://arstechnica.com/news/posts/20040923-4227.html :
The good news is that browsers like Firefox and Opera as well as many other image viewing/managing programs are not vulnerable to this type of attack since they do not depend on the GDI+ for their JPEG decoding
Hoe zit het met andere browsers, zoals (mpf) Opera?
Is er geen "test-plaatje" zodat we kunnen kijken of de bugfixes uit het vorige artikel op t.net echt werken?
Het lijkt me niet echt slim op een potentieel gevaarlijk bestand hier zo neer te plempen. Kwaadwillenden zouden met gemak kleine aanpassingen kunnen doorvoeren, waardoor het wl kwaadaardig wordt.
De kwaadwillenden zijn allang op de hoogte, het lijkt me geen bezwaar om de overige 99% dit ook even te melden.
ik vraag me nog steeds af wat ze bedoelen met volledige toegang tot je computer. is dat dat je c: kan bekijken of veranderen offzow iets. ik zie dat wel vaker staan heeft iemand daar wat meer over te zeggen.??
Volledige beheer over de computer betekent dat een 'hacker' alles op een computer, en meer kan doen zoals jij dat als een gebruiker doet. dus je c:\ bekijken, account aanmaken en beheren, maar ook je computer gebruiken voor Ddos attack's en verdere virusverspreidingen
er wordt mee bedoelt dat ze alles met je pc kunnen doen wat ze willen. dmv het uitvoeren van hun eigen code kunnen ze dingen doen als programma's starten/killen, files aanmaken/deleten/wijzigen, register wijzigingen, etc. oftewel alles wat je zelf zou kunnen doen. aan dat tweede exploit kun je zien dat ze bv. voor zichzelf een user account aan kunnen maken. dit zou het virus evt op kunnen sturen naar de schrijver, zodat die weet dat hij nu via dat account aan kan loggen op je pc en daar van alles mee doen.

[edit:] moet sneller leren typen ;) [/edit]
Dit houd in dat degene die deze exploit gebruikt, alles kan doen op jouw PC wat jij normaal ook kan doen

- Dus op je C: schijf komen, daar bestand verwijderen, veranderen of aanmaken (met daarin een virus of trojan)
- Je e-mail bekijken die lokaal op je PC staat
- Wachtwoorden aanpassen
- Wachtwoorden achterhalen (d.m.v. keyloggers of via de 'handige' windows 'wachtwoorden opslaan' functie)
- Gebruikers aanmaken/verwijderen
- E-mail versturen onder jouw naam

edit:
Ja anders gaan we ff allemaal tegelijk het zelfde antwoord geven! :+
oftewel administrator rechten :)

zeg dat dan gewoon dan snapt iedereen het :|
Als een gebruiker geen administrator rechten heeft dan kan een hacker die gebruik maakt van die exploit even veel als de gebruiker. Tenzij de hacker op een of andere manier het paswoord heeft weten te ontfutselen.
en hoeveel exploits zijn er wel niet om van gewone usr lvl naar adm te verkassen? je kan in een windows systeempje wel stellen dat zodra een gewone usr z'n rechten kwijt is dat de adm het ook wel is aangezien dat bijzonder weinig voorstelt. simpel voorbeeldje is bijv. shatter
ik heb toch altijd wel ontzag ervoor hoe creatief men is. en ik denk dat dit ook wel aantoont dat door veel proberen dat wat MS niet vrij wilt geven toch wel gevonden wordt en uiteindelijk het gevolg heeft dat die desbetreffende fouten die windows toch bevat misbruikt zullen worden. opensource is niet altijd de oplossing maar closed software zeker niet.
wat ik niet geheel snap is hoe het met de server side zit. er staat dat jpg'jes gewijzigd kunnen worden. is het zo dat er in de datastroom zelf dan extra data wordt toegevoegd, of wordt er op de server zelf data toegevoegd of hoe gebeurd dit? en als het via de server gaat is dit dan via de im/gd lib?
Ik vraag me eigenlijk af of deze exploit ook nog met windows xp sp2 werkt wanneer Data Execution Prevention aan staat. Ik denk het haast niet...
Toch raar, een minuut of 5 geleden crashte FF PR1 hier
(win XP SP2 met Kaspersky AV) toen ik het linkje van
dr kriebel ging testen.

Nu heb ik dat MS GDI+ (KB873374) gebeuren via windowsupdate gedownload en nu zie ik wel bij zowel IE als FF het kruisje en geen crash meer met FireFox.

Er staat toch dat FireFox hier geen probleem mee heeft,
of lees ik anders dan wat er staat ? :>
Een andere voorbeeld (plaatje) waarmee deze bug te testen valt is te vinden op:

http://www.gulftech.org/downloads/?file_id=00020
In die zip zit ook 'n bestand waarin de volgende tekst staat:

I came across this issue about a year ago while messing with Solar Designer's old
Netscape JPEG vuln. I never realized the signifigance of it until the recent public
release. Since the vuln has been addressed and people have started patching, I have
decided to release a POC.


Die bug was dus al veel langer bekend.

Het is me overigens wel gelukt om het virus uit de afbeelding te halen door het (in een PHP script) te openen met GD, en daarna gelijk weer op te slaan. Als ik Norton AV daarna aanzet, dan geeft hij de virusmelding alleen over het oude plaatje. De volgende 2 regels PHP zijn dus al genoeg:

$img = imagecreatefromjpeg('besmet.jpg');
imagejpeg($img, 'onbesmet.jpg');
Beetje overdreven om om die manier je webserver trager te maken door iedere jpeg opnieuw te genereren, alleen maar omdat windows een bug heeft. Gebruik gewoon een goeie browser, een goeie mailclient en een goeie image viewer, en je bent al een heel eind.
Het enige dat helpt is dus een goed OS en de rest staat onder invloed daarvan.
jack, je bent duidelijk geen programmeur ;)

Dat een OS een JPEG-bug heeft, wil niet zeggen dat onder dat OS *alle* applicaties last hebben van dezelfde bug. Alleen MS-dingen, misschien .NET applicaties en applicaties met een oude VB runtime (als daar JPG in zit).

Een goeie applicatie heeft gewoon een eigen JPEG library, meegecompileerd in de exe. Bovendien is een beetje applicatie wel zo gemaakt dat buffer overruns worden afgevangen.
ik vind het vreemd dat het maar n dll zou zijn die uiteindelijk kwetsbaar is; la je op de update pagina van MS gaat kiken zie je duidelijk staan dat het noodzlkelijk is lle mogelijk kwetsbare programma's te updaten. Je zou dan toch verwachten dat het updaten va 1 programma (en dus die dll vervangen door een beter versie) het probleem voorgoed uit de wereld helpt?
Het is nu eenmaal zo dat heel veel programmas deze DLL gebruiken. Het gaat er dus niet om de programmas te patchen, maar het is zaak om alleen deze DLL te patchen.
Ik krijg een Zwart kruisje met een Norton AntiVirus warning voor Bloodhound Exploit :)

IE @ SP2
idem dito
NAV 2003 Bloodhound.exploit.13

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True