Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 107 reacties
Bron: Secunia, submitter: Pietervs

Windows logo / vlag (klein)Een probleem in Windows' implementatie van metadatabestanden is door Secunia als 'extreem kritiek' bestempeld. Door een gebruiker een .wmf-bestand te laten openen of previewen (wat Internet Explorer automatisch doet als het in een webpagina wordt opgenomen) kunnen kwaadwillenden willekeurige code uitvoeren op het betreffende systeem. Zowel Windows XP als Server 2003 zijn kwetsbaar voor het probleem, zelfs met alle updates ge´nstalleerd. Het lek zou volgens McAfee al op minstens twee sites worden benut om malware te installeren, maar het goede nieuws is dat deze inmiddels ook al worden herkend door de virusscanner.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (107)

Nou, dan had ik gister effe geluk. Ik kwam op een webpagina uit die niet 100% goed functioneerde en die wilde me zo'n .wmf bestand laten openen (hij deed het niet automatisch, hij vroeg of het mocht), nou... Ben ik blij dat ik nee zei... Toevallig...

Maar goed, we weten allemaal dat je tegenwoordig best het internet niet meer opkomt zonder goede virusscanner en dan nog moet je uitkijken. Het is natuurlijk ook wel logisch dat de meeste exploits gevonden worden op en gebruikt tegen Microsoft systemen omdat die ook het meest verspeid zijn. Meestal is Microsoft de exploits voor met een patch, deze keer zijn ze blijkbaar wat aan de late kant...

Vista zou verbetering moeten brengen in de veiligheid van het OS, maar in welke mate en met hoeveel ongemak dir gepaard gaat gaan, zullen we toch moeten afwachten.

Voor de zekerheid heb net nog maar eens een manual update van mijn eigen virusscanner gedaan... :)
Meestal is Microsoft de exploits voor met een patch, deze keer zijn ze blijkbaar wat aan de late kant...

Uhm, meestal worden berichten over exploits pas verspreid nadat Microsoft een patch gereed heeft. De exploit is dan al langer bekend (zeker onder de security experts, maar geheid ook onder crackers en andere verspreiders van plezier voor de gemiddelde computer gebruiker).

Alleen als een exploit ook in "the wild" wordt gevonden zal informatie over de exploit worden verspreid voor een patch beschikbaar komt.

Maar genoeg over security by obscurity :Y)
het is dan ook eerder de vraag hoe snel reageert MS op een potentiele bug. vaak is het zo dat MS afweet van een fout maar er niets aan doet totdat ie in het wild voorkomt en imo is dat eigenlijk te laat. dat fouten voorkomen is niet uit te sluiten maar er iets tegen doen en ook zo proberen te werken dat het niet gebeurd is een ander verhaal. en bij MS heb ik nou niet echt het gevoel dat ze kwaliteit willen afleveren en veiligheid willen garenderen.
er is een verschil tussen zeggen dat je aan veiligheid doet en ook het daadwerkelijk doen
vaak is het zo dat MS afweet van een fout maar er niets aan doet totdat ie in het wild voorkomt en imo is dat eigenlijk te laat
Waar baseer je je op? Meld jij misschien kritieke fouten aan MS en heb je dan nog eens insider informatie dat er niets mee gedaan wordt :?
Tegenwoordig zie ik meer en meer meldingen van exploitable bugs in windows die al gefixt werden in ÚÚn van de laatste updates. Het is duidelijk dat MS de reputatie van windows als onveilig OS kwijt wil.
Inderdaad. De meeste exploitable bugs komen in het wild vrij 1 Ó 2 weken NADAT Microsoft een patch heeft vrijgegeven.

De kwaadwillende zijn dan juist aan de slag gegaan met de informatie die vrij is gekomen met de patch.
Weet je...

Er zijn dus ook andere oplossingen waardoor je (vooralsnog) minder kans hebt op dit soort gekkigheid.

Stom genoeg geef je de oplossing zelf al aan.
Gebruik geen MS product, maar kies een minder gebruikte browser (opera/firefox)
"Any application that automatically displays a WMF image will cause the userĺs machines to get infected. This includes older versions of Firefox, current versions of Opera, Outlook and all current version of Internet Explorer on all versions of Windows."

De bug zit in Microsoft Windows WMF graphics rendering engine, niet in IE zelf.
Of maak gewoon gebruik van de securityfeatures van je OS... alles wat je als beheerder draait is potentieel onveilig.
Ik snap dat Secunia dit als 'extremely critical' markeert maar ik denk dat de impact nog wel mee valt. Je zult deze geprepareerde WMF files nooit op normale website tegen komen. Dat zal zich toch wel beperken tot de pr0n sites, warez sites of de domeinkapers.

Maar ik vraag me af of Outlook (Express) hier ook vulnerable voor is aangezien deze ook de IE engine gebruikt voor het tonen van HTML e-mails. Als je dan een geprepareerde WMF file meestuurt die embedded is in de HTML e-mail dan zou dat wel een zeer grote impact kunnen hebben. Omdat Outlook namelijk attached images wel direct laat zien in HTML e-mails (i.t.t. images die van websites geladen moeten worden).
Versta jij NU.nl ook onder pr0n, warez site of domeinkaper? Vorig jaar nog werden de advertentie-sites van Ilse Media gehackt waardoor een virus zich verspreide op alle sites van Ilse (waaronder NU.nl). Ik geef toe dat dit gelukkig geen dagelijkse kost is, maar denken dat je veilig bent omdat je alleen 'normale' websites bezoekt is helaas een illusie.
Hoe verschilt dat dan van andere exploits? Een exploit is een exploit, het hoort niet dat, als iemand je een link stuurt, je meteen ge´nfecteerd bent.
Ok, exploits zijn minder erg dan wormen. Maar als iemand van dit lek gebruik maakt om via IM een rotte URL aan iedereen door te sturen, verspreidt het zich meteen!
Ook een willekeurige bannerboer met een beveiligingsprobleem volstaat, met al die sukkels die advertenties in IFRAME's zetten.
Ik heb mezelf eens voor de lol geinfecteerd met zo een wmf virus, uiteraard in een virtual machine omgeving en een snapshot vlak voor en vlak na de infectie vergeleken met het programma InstallRight.

Een aantal resultaten:

Zo ziet bureaublad eruit na infectie
Dit toont Installright vlak na infectie
Dit is een lijst met veranderingen aan bestanden op de computer
Dit is een lijst met veranderingen aan het register
vooral niet zoeken op fistingfilms dus in google :-)
En dat zijn alleen nog maar de verschillen }> Gelukkig wel een veilige (virtual) omgeving gebruikt :+
Een .wmf bestand is een Windows MetaFile, eem vector-afbeelding. Tegenwoordig wordt meestal het .emf (Enhanced MetaFile) formaat gebruikt. Het gaat dus niet om een video...
De voorlopige "oplossing" is als volgt:

- Klik Startmenu -> Uitvoeren
- type "regsvr32 -u %windir%\system32\shimgvw.dll"
(zonder aanhalingstekens)
- klik op [OK]

Hierdoor wordt "Microsoft Picture and Fax Viewer" buiten werking gesteld. Deze viewer is juist het deel dat kwetsbaar is. Deze workaround kan later weer eenvoudig ongedaan gemaakt worden.

http://www.microsoft.com/...rity/advisory/912840.mspx
Workarounds

Microsoft has tested the following workaround. While this workaround will not correct the underlying vulnerability, it will help block known attack vectors. When a workaround reduces functionality, it is identified in the following section.

Un-register the Windows Picture and Fax Viewer (Shimgvw.dll) on Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 and Windows Server 2003 Service Pack 1

To un-register Shimgvw.dll, follow these steps:

1. Click Start, click Run, type "regsvr32 -u %windir%\system32\shimgvw.dll" (without the quotation marks), and then click OK.

2. A dialog box appears to confirm that the un-registration process has succeeded. Click OK to close the dialog box.

Impact of Workaround: The Windows Picture and Fax Viewer will no longer be started when users click on a link to an image type that is associated with the Windows Picture and Fax Viewer.

To undo this change, re-register Shimgvw.dll by following the above steps. Replace the text in Step 1 with "regsvr32 %windir%\system32\shimgvw.dll" (without the quotation marks).
---------
Je kan voor de zekerheid ook nog het volgende in je hosts file zetten. Dit zijn domeinen/sites waarvan iig op dit moment bekend is dat ze deze vulnerability misbruiken.
Je moet zelf even de [dot] in een punt omzetten.
# wmf vulnerability exploiting sites:

0.0.0.0 toolbarbiz[dot]biz
0.0.0.0 toolbarsite[dot]biz
0.0.0.0 toolbartraff[dot]biz
0.0.0.0 toolbarurl[dot]biz
0.0.0.0 buytoolbar[dot]biz
0.0.0.0 buytraff[dot]biz
0.0.0.0 iframebiz[dot]biz
0.0.0.0 iframecash[dot]biz
0.0.0.0 iframesite[dot]biz
0.0.0.0 iframetraff[dot]biz
0.0.0.0 iframeurl[dot]biz
0.0.0.0 Crackz[dot]ws
0.0.0.0 unionseek[dot]com
0.0.0.0 www.tfcco[dot]com
0.0.0.0 Iframeurl[dot]biz
0.0.0.0 beehappyy[dot]biz
(bron: http://www.f-secure.com/weblog/)


@ikke2
Dank voor het melden.

Klopt, kom ik ook net achter. Maar dit is ook maar een tijdelijke oplossing totdat MS met een patch komt. De keus tussen thumbnails in explorer of het risico dat mijn PC besmet wordt is niet moeilijk voor mij. En deze workaround is later (als er een patch is) weer in een handomdraai terug te draaien. Zie stukje engelse tekst hierboven.
de actie "regsvr32 -u" haalt ook alle thumbnails weg in de explorer !!!!
*.wmf en *.emf in je adblocker :)
Zie ook dit topic op GoT. Er zijn al meerdere tweakers (waaronder ik) getroffen door deze exploit.
Laten we nou niet Microsoft met z'n allen gaan flamen, laten we afwachten hoe lang ze erover doen om met een fix te komen en dan op basis daarvan flamen ;)
Hopen dat ze een fix hebben voor de volgende patchdag
Liefst eerder... maar als je zeker wilt zijn dat je er geen last van hebt moet je op het tabblad geavanceerd van internet opties de vinkjes bij multimedia weg halen. 8-)
Laten we nou niet Microsoft met z'n allen gaan flamen
Heb je soms last van het StockholmSyndroom?
Ik denk dat je eerder een probleem hebt als je denkt dat je een gijzelaar van MS bent.. ;)
Het kan natuurlijk wel dat je je gegijzeld voelt als je vast zit door vendor lock-in oftewel: Pottersville pattern.

http://en.wikipedia.org/wiki/Vendor_lock-in
Linux is een besturingssysteem niet een media speler...
Linux is enkel een kernel.
En je vergeet ook nog eens hˇeveel mensen XP gebruiken en hˇe weinig Linux. Daarom is het toch niet eens zo gek dat problemen bij XP meer aandacht krijgen?
Ach, in een linux-mandje heb je iig meer mand dan gat, als ik jou, overigens onware, voorbeeld doortrek dan zouden we windows kunnen vergelijken met een praktische onzichtbaar mandje?
Dan kunnen we net zo goed nu alvast beginnen.
Windows is ook zo'n lekker verdienstelijk slachtoffer:
* 99% heeft x86.
* >90% v/d mensen gebruikt Internet Explorer
* I.E. is altijd binair identiek (geen gekke compiler flags e.d) Ok, dit is geen nadeel t.o.v. Firefox, maar wel t.o.v. bijvoorbeeld Linux.

Een virusje schrijven voor Windows is de moeite gewoon waard als je veel mensen wil etteren.
Jaja, daar gaan we weer.
Nou dan doe ik ook een schepje: Hoe komt het dan dat een OS waar ~75% van alle webservers van het internet op draait dan zoveel minder virussen kent? Hoe komt het dan dat voor een besturingssysteem (Unix) wat al bijna dan 40 jaar bestaat en waar een serie andere bekende OS-en (Linux, FreeBSD, NetBSD etc.) van afgeleid zijn zoveel minder virussen bestaan? Nou???
Lijkt me logisch: ik zou als hacker ook thuis gebruikers uitzoeken die geen reet verstand hebben van beveiliging en internet en daarbij allemaal als administrator ingelogd zijn. En laat die mensen nou windows draaien. Servers zijn over het algemeen toch wel iets beter beveiligd met beter definities van rechten van gebruikers. Hoewel windows als server OS natuurlijk nooit 100% veilig kan zijn mag ik toch aannemen dat virussen zich eigenlijk altijd via onkundige thuisgebruikertjes verspreiden. (keer adaware op Windows ME bij een kennis gedraait, 950 hits ;)) Oh en dat Win2003 kwetsbaar is is niet netjes natuurlijk, maja, wie gaat er nou browser op een server :S

Ik vind win XP met SP2 overigens al veel beter beveiligd, nu moet je die mensen afleren om overal 'ja' tegen te zeggen.
De mensen afleren om overal 'ja' tegen te zeggen? Die WMF render engine zit toch niet voor niets in Windows. Stockholm Syndroom. Het probleem ligt gewoon bij MS hoor, zij maken de fout, kan gebeuren. Maar iedere fout bij MS is gelijk dat er willekeurige code op het systeem uitgevoerd kan worden. De hele security is gewoon verkeerd opgezet bij Windows, dat is nou eenmaal zo. Je kan alleen maar hopen dat ze het met Vista fixen, anders denk ik toch echt dat ze meer en meer moeite gaan krijgen om hun marktaandeel te behouden.

Security through obscurity is onzin. Er zijn geen virussen voor de Mac omdat er geen gebruikers zijn, is onzin. Een van de vroege Longhorn builds die door onder de 100.000 mensen gebruikt werd had al een exploit m.b.t. de Shell. Hetzelfde met die mobiele telefoonvirussen. Het is gewoon veel moeilijker om een malware achtig virus te schrijven voor de Mac (Unix).
Ik zie dat het wordt veroorzaakt door een buffer overflow, zoals de meeste exploits. Nu ben ik wel benieuwd naar wat het precies is, en hoe het kan dat na een overflow er willekeurige code kan worden uitgevoerd. Wie kan me er meer info over geven?
Heeft het aanzetten van Data Execution Prevention (DEP) nog enig nut?
Heeft bij mij wel geholpen. Samen met Avast.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True