Een probleem in Windows' implementatie van metadatabestanden is door Secunia als 'extreem kritiek' bestempeld. Door een gebruiker een .wmf-bestand te laten openen of previewen (wat Internet Explorer automatisch doet als het in een webpagina wordt opgenomen) kunnen kwaadwillenden willekeurige code uitvoeren op het betreffende systeem. Zowel Windows XP als Server 2003 zijn kwetsbaar voor het probleem, zelfs met alle updates geïnstalleerd. Het lek zou volgens McAfee al op minstens twee sites worden benut om malware te installeren, maar het goede nieuws is dat deze inmiddels ook al worden herkend door de virusscanner.
'Extreem kritieke' fout bedreigt Windows XP
Door Wouter Tinus
Feedback • 28-12-2005 19:49107 • submitter: Pietervs
Lees meer
Officieuze patch voor VML-lek in IE verschenen
Nieuws van 24 september 2006
Nieuwste IE-exploit in goedkope Russische hackerskit
Nieuws van 20 september 2006
Microsoft patcht tien kritieke bugs, Eolas-patch ook in update
Nieuws van 12 april 2006
Steeds meer exploits Active Scripting-bug
Nieuws van 28 maart 2006
'WMF-exploit ontdekt en verkocht door hackers'
Nieuws van 4 februari 2006
Data Execution Prevention ziet Skype 2.0 als overtreder
Nieuws van 18 januari 2006
Microsoft patcht twee nieuwe kritieke fouten
Nieuws van 11 januari 2006
Microsoft vervroegt reparatie WMF-gat
Nieuws van 6 januari 2006
Microsofts patch voor wmf-bug uitgelekt
Nieuws van 4 januari 2006
Microsoft patcht WMF-lek op 10 januari
Nieuws van 4 januari 2006
SANS roept op onofficiële patch te installeren
Nieuws van 2 januari 2006
Microsoft dicht lekken in Windows en Internet Explorer
Nieuws van 14 december 2005
Hacker probeert exploitcode voor Excel te veilen
Nieuws van 10 december 2005
Microsoft overweegt versnelde distributie van patch
Nieuws van 2 december 2005
Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug
Nieuws van 22 november 2005
Kritieke Windows-patch fixt twee grafische bugs
Nieuws van 9 november 2005
Microsoft test online 'Live Safety Center' voor Windows
Nieuws van 9 november 2005
IE-update brengt kleine problemen met zich mee
Nieuws van 3 november 2005
Drie kritieke Windows patches deze maand
Nieuws van 12 oktober 2005
Microsofts patchdag deze maand erg rustig
Nieuws van 10 september 2005
Beveiligingsupdates juni: Apple 11 - Microsoft 10
Nieuws van 11 juni 2005
Niet-Microsoft software wordt vaker doelwit van hackers
Nieuws van 2 mei 2005
Reacties (107)
Nou, dan had ik gister effe geluk. Ik kwam op een webpagina uit die niet 100% goed functioneerde en die wilde me zo'n .wmf bestand laten openen (hij deed het niet automatisch, hij vroeg of het mocht), nou... Ben ik blij dat ik nee zei... Toevallig...
Maar goed, we weten allemaal dat je tegenwoordig best het internet niet meer opkomt zonder goede virusscanner en dan nog moet je uitkijken. Het is natuurlijk ook wel logisch dat de meeste exploits gevonden worden op en gebruikt tegen Microsoft systemen omdat die ook het meest verspeid zijn. Meestal is Microsoft de exploits voor met een patch, deze keer zijn ze blijkbaar wat aan de late kant...
Vista zou verbetering moeten brengen in de veiligheid van het OS, maar in welke mate en met hoeveel ongemak dir gepaard gaat gaan, zullen we toch moeten afwachten.
Voor de zekerheid heb net nog maar eens een manual update van mijn eigen virusscanner gedaan...
Maar goed, we weten allemaal dat je tegenwoordig best het internet niet meer opkomt zonder goede virusscanner en dan nog moet je uitkijken. Het is natuurlijk ook wel logisch dat de meeste exploits gevonden worden op en gebruikt tegen Microsoft systemen omdat die ook het meest verspeid zijn. Meestal is Microsoft de exploits voor met een patch, deze keer zijn ze blijkbaar wat aan de late kant...
Vista zou verbetering moeten brengen in de veiligheid van het OS, maar in welke mate en met hoeveel ongemak dir gepaard gaat gaan, zullen we toch moeten afwachten.
Voor de zekerheid heb net nog maar eens een manual update van mijn eigen virusscanner gedaan...
Meestal is Microsoft de exploits voor met een patch, deze keer zijn ze blijkbaar wat aan de late kant...
Uhm, meestal worden berichten over exploits pas verspreid nadat Microsoft een patch gereed heeft. De exploit is dan al langer bekend (zeker onder de security experts, maar geheid ook onder crackers en andere verspreiders van plezier voor de gemiddelde computer gebruiker).
Alleen als een exploit ook in "the wild" wordt gevonden zal informatie over de exploit worden verspreid voor een patch beschikbaar komt.
Maar genoeg over security by obscurity
Uhm, meestal worden berichten over exploits pas verspreid nadat Microsoft een patch gereed heeft. De exploit is dan al langer bekend (zeker onder de security experts, maar geheid ook onder crackers en andere verspreiders van plezier voor de gemiddelde computer gebruiker).
Alleen als een exploit ook in "the wild" wordt gevonden zal informatie over de exploit worden verspreid voor een patch beschikbaar komt.
Maar genoeg over security by obscurity
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
het is dan ook eerder de vraag hoe snel reageert MS op een potentiele bug. vaak is het zo dat MS afweet van een fout maar er niets aan doet totdat ie in het wild voorkomt en imo is dat eigenlijk te laat. dat fouten voorkomen is niet uit te sluiten maar er iets tegen doen en ook zo proberen te werken dat het niet gebeurd is een ander verhaal. en bij MS heb ik nou niet echt het gevoel dat ze kwaliteit willen afleveren en veiligheid willen garenderen.
er is een verschil tussen zeggen dat je aan veiligheid doet en ook het daadwerkelijk doen
er is een verschil tussen zeggen dat je aan veiligheid doet en ook het daadwerkelijk doen
Waar baseer je je op? Meld jij misschien kritieke fouten aan MS en heb je dan nog eens insider informatie dat er niets mee gedaan wordtvaak is het zo dat MS afweet van een fout maar er niets aan doet totdat ie in het wild voorkomt en imo is dat eigenlijk te laat
Tegenwoordig zie ik meer en meer meldingen van exploitable bugs in windows die al gefixt werden in één van de laatste updates. Het is duidelijk dat MS de reputatie van windows als onveilig OS kwijt wil.
Inderdaad. De meeste exploitable bugs komen in het wild vrij 1 à 2 weken NADAT Microsoft een patch heeft vrijgegeven.
De kwaadwillende zijn dan juist aan de slag gegaan met de informatie die vrij is gekomen met de patch.
De kwaadwillende zijn dan juist aan de slag gegaan met de informatie die vrij is gekomen met de patch.
/u/4739/logo-clean-icon.png?f=community){kind=icon}
Weet je...
Er zijn dus ook andere oplossingen waardoor je (vooralsnog) minder kans hebt op dit soort gekkigheid.
Stom genoeg geef je de oplossing zelf al aan.
Gebruik geen MS product, maar kies een minder gebruikte browser (opera/firefox)
Er zijn dus ook andere oplossingen waardoor je (vooralsnog) minder kans hebt op dit soort gekkigheid.
Stom genoeg geef je de oplossing zelf al aan.
Gebruik geen MS product, maar kies een minder gebruikte browser (opera/firefox)
"Any application that automatically displays a WMF image will cause the user’s machines to get infected. This includes older versions of Firefox, current versions of Opera, Outlook and all current version of Internet Explorer on all versions of Windows."
De bug zit in Microsoft Windows WMF graphics rendering engine, niet in IE zelf.
De bug zit in Microsoft Windows WMF graphics rendering engine, niet in IE zelf.
/u/32287/crop5704f5348305b.png?f=community){kind=small}
Of maak gewoon gebruik van de securityfeatures van je OS... alles wat je als beheerder draait is potentieel onveilig.
Ik snap dat Secunia dit als 'extremely critical' markeert maar ik denk dat de impact nog wel mee valt. Je zult deze geprepareerde WMF files nooit op normale website tegen komen. Dat zal zich toch wel beperken tot de pr0n sites, warez sites of de domeinkapers.
Maar ik vraag me af of Outlook (Express) hier ook vulnerable voor is aangezien deze ook de IE engine gebruikt voor het tonen van HTML e-mails. Als je dan een geprepareerde WMF file meestuurt die embedded is in de HTML e-mail dan zou dat wel een zeer grote impact kunnen hebben. Omdat Outlook namelijk attached images wel direct laat zien in HTML e-mails (i.t.t. images die van websites geladen moeten worden).
Maar ik vraag me af of Outlook (Express) hier ook vulnerable voor is aangezien deze ook de IE engine gebruikt voor het tonen van HTML e-mails. Als je dan een geprepareerde WMF file meestuurt die embedded is in de HTML e-mail dan zou dat wel een zeer grote impact kunnen hebben. Omdat Outlook namelijk attached images wel direct laat zien in HTML e-mails (i.t.t. images die van websites geladen moeten worden).
Versta jij NU.nl ook onder pr0n, warez site of domeinkaper? Vorig jaar nog werden de advertentie-sites van Ilse Media gehackt waardoor een virus zich verspreide op alle sites van Ilse (waaronder NU.nl). Ik geef toe dat dit gelukkig geen dagelijkse kost is, maar denken dat je veilig bent omdat je alleen 'normale' websites bezoekt is helaas een illusie.
Hoe verschilt dat dan van andere exploits? Een exploit is een exploit, het hoort niet dat, als iemand je een link stuurt, je meteen geïnfecteerd bent.
Ok, exploits zijn minder erg dan wormen. Maar als iemand van dit lek gebruik maakt om via IM een rotte URL aan iedereen door te sturen, verspreidt het zich meteen!
Ok, exploits zijn minder erg dan wormen. Maar als iemand van dit lek gebruik maakt om via IM een rotte URL aan iedereen door te sturen, verspreidt het zich meteen!
/u/4024/burne.png?f=community){kind=small}
Ook een willekeurige bannerboer met een beveiligingsprobleem volstaat, met al die sukkels die advertenties in IFRAME's zetten.
Ik heb mezelf eens voor de lol geinfecteerd met zo een wmf virus, uiteraard in een virtual machine omgeving en een snapshot vlak voor en vlak na de infectie vergeleken met het programma InstallRight.
Een aantal resultaten:
Zo ziet bureaublad eruit na infectie
Dit toont Installright vlak na infectie
Dit is een lijst met veranderingen aan bestanden op de computer
Dit is een lijst met veranderingen aan het register
Een aantal resultaten:
Zo ziet bureaublad eruit na infectie
Dit toont Installright vlak na infectie
Dit is een lijst met veranderingen aan bestanden op de computer
Dit is een lijst met veranderingen aan het register
vooral niet zoeken op fistingfilms dus in google :-)
En dat zijn alleen nog maar de verschillen 
Gelukkig wel een veilige (virtual) omgeving gebruikt 
Gelukkig wel een veilige (virtual) omgeving gebruikt
Een .wmf bestand is een Windows MetaFile, eem vector-afbeelding. Tegenwoordig wordt meestal het .emf (Enhanced MetaFile) formaat gebruikt. Het gaat dus niet om een video...
De voorlopige "oplossing" is als volgt:
- Klik Startmenu -> Uitvoeren
- type "regsvr32 -u %windir%\system32\shimgvw.dll"
(zonder aanhalingstekens)
- klik op [OK]
Hierdoor wordt "Microsoft Picture and Fax Viewer" buiten werking gesteld. Deze viewer is juist het deel dat kwetsbaar is. Deze workaround kan later weer eenvoudig ongedaan gemaakt worden.
http://www.microsoft.com/...rity/advisory/912840.mspx
Je kan voor de zekerheid ook nog het volgende in je hosts file zetten. Dit zijn domeinen/sites waarvan iig op dit moment bekend is dat ze deze vulnerability misbruiken.
Je moet zelf even de [dot] in een punt omzetten.
@ikke2
Dank voor het melden.
Klopt, kom ik ook net achter. Maar dit is ook maar een tijdelijke oplossing totdat MS met een patch komt. De keus tussen thumbnails in explorer of het risico dat mijn PC besmet wordt is niet moeilijk voor mij. En deze workaround is later (als er een patch is) weer in een handomdraai terug te draaien. Zie stukje engelse tekst hierboven.
- Klik Startmenu -> Uitvoeren
- type "regsvr32 -u %windir%\system32\shimgvw.dll"
(zonder aanhalingstekens)
- klik op [OK]
Hierdoor wordt "Microsoft Picture and Fax Viewer" buiten werking gesteld. Deze viewer is juist het deel dat kwetsbaar is. Deze workaround kan later weer eenvoudig ongedaan gemaakt worden.
http://www.microsoft.com/...rity/advisory/912840.mspx
---------Workarounds
Microsoft has tested the following workaround. While this workaround will not correct the underlying vulnerability, it will help block known attack vectors. When a workaround reduces functionality, it is identified in the following section.
Un-register the Windows Picture and Fax Viewer (Shimgvw.dll) on Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 and Windows Server 2003 Service Pack 1
To un-register Shimgvw.dll, follow these steps:
1. Click Start, click Run, type "regsvr32 -u %windir%\system32\shimgvw.dll" (without the quotation marks), and then click OK.
2. A dialog box appears to confirm that the un-registration process has succeeded. Click OK to close the dialog box.
Impact of Workaround: The Windows Picture and Fax Viewer will no longer be started when users click on a link to an image type that is associated with the Windows Picture and Fax Viewer.
To undo this change, re-register Shimgvw.dll by following the above steps. Replace the text in Step 1 with "regsvr32 %windir%\system32\shimgvw.dll" (without the quotation marks).
Je kan voor de zekerheid ook nog het volgende in je hosts file zetten. Dit zijn domeinen/sites waarvan iig op dit moment bekend is dat ze deze vulnerability misbruiken.
Je moet zelf even de [dot] in een punt omzetten.
(bron: http://www.f-secure.com/weblog/)# wmf vulnerability exploiting sites:
0.0.0.0 toolbarbiz[dot]biz
0.0.0.0 toolbarsite[dot]biz
0.0.0.0 toolbartraff[dot]biz
0.0.0.0 toolbarurl[dot]biz
0.0.0.0 buytoolbar[dot]biz
0.0.0.0 buytraff[dot]biz
0.0.0.0 iframebiz[dot]biz
0.0.0.0 iframecash[dot]biz
0.0.0.0 iframesite[dot]biz
0.0.0.0 iframetraff[dot]biz
0.0.0.0 iframeurl[dot]biz
0.0.0.0 Crackz[dot]ws
0.0.0.0 unionseek[dot]com
0.0.0.0 www.tfcco[dot]com
0.0.0.0 Iframeurl[dot]biz
0.0.0.0 beehappyy[dot]biz
@ikke2
Dank voor het melden.
Klopt, kom ik ook net achter. Maar dit is ook maar een tijdelijke oplossing totdat MS met een patch komt. De keus tussen thumbnails in explorer of het risico dat mijn PC besmet wordt is niet moeilijk voor mij. En deze workaround is later (als er een patch is) weer in een handomdraai terug te draaien. Zie stukje engelse tekst hierboven.
de actie "regsvr32 -u" haalt ook alle thumbnails weg in de explorer !!!!
:strip_icc():strip_exif()/u/28792/thing.jpg?f=community){kind=small}
*.wmf en *.emf in je adblocker
:strip_exif()/u/82954/unox.gif?f=community){kind=small}
Zie ook dit topic op GoT. Er zijn al meerdere tweakers (waaronder ik) getroffen door deze exploit.
:strip_icc():strip_exif()/u/55573/icon.jpg?f=community){kind=icon}
Laten we nou niet Microsoft met z'n allen gaan flamen, laten we afwachten hoe lang ze erover doen om met een fix te komen en dan op basis daarvan flamen 
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community){kind=small}
Hopen dat ze een fix hebben voor de volgende patchdag
Liefst eerder... maar als je zeker wilt zijn dat je er geen last van hebt moet je op het tabblad geavanceerd van internet opties de vinkjes bij multimedia weg halen. 
Heb je soms last van het StockholmSyndroom?Laten we nou niet Microsoft met z'n allen gaan flamen
:strip_icc():strip_exif()/u/66961/crop5c20da5d3451c_cropped.jpeg?f=community){kind=small}
Ik denk dat je eerder een probleem hebt als je denkt dat je een gijzelaar van MS bent..
Het kan natuurlijk wel dat je je gegijzeld voelt als je vast zit door vendor lock-in oftewel: Pottersville pattern.
http://en.wikipedia.org/wiki/Vendor_lock-in
http://en.wikipedia.org/wiki/Vendor_lock-in
Linux is een besturingssysteem niet een media speler...
:strip_icc():strip_exif()/u/138329/crop689a7b1b85b4b_cropped.jpg?f=community){kind=small}
En je vergeet ook nog eens hóeveel mensen XP gebruiken en hóe weinig Linux. Daarom is het toch niet eens zo gek dat problemen bij XP meer aandacht krijgen?
Linux is enkel een kernel.
:strip_icc():strip_exif()/u/1100/crop5a1c5df8066e1_cropped.jpeg?f=community){kind=small}
Ach, in een linux-mandje heb je iig meer mand dan gat, als ik jou, overigens onware, voorbeeld doortrek dan zouden we windows kunnen vergelijken met een praktische onzichtbaar mandje?
Dan kunnen we net zo goed nu alvast beginnen.
:strip_icc():strip_exif()/u/19241/2.jpg?f=community){kind=small}
Windows is ook zo'n lekker verdienstelijk slachtoffer:
* 99% heeft x86.
* >90% v/d mensen gebruikt Internet Explorer
* I.E. is altijd binair identiek (geen gekke compiler flags e.d) Ok, dit is geen nadeel t.o.v. Firefox, maar wel t.o.v. bijvoorbeeld Linux.
Een virusje schrijven voor Windows is de moeite gewoon waard als je veel mensen wil etteren.
* 99% heeft x86.
* >90% v/d mensen gebruikt Internet Explorer
* I.E. is altijd binair identiek (geen gekke compiler flags e.d) Ok, dit is geen nadeel t.o.v. Firefox, maar wel t.o.v. bijvoorbeeld Linux.
Een virusje schrijven voor Windows is de moeite gewoon waard als je veel mensen wil etteren.
:strip_icc():strip_exif()/u/45000/zardoz3-edit.jpg?f=community){kind=small}
Jaja, daar gaan we weer.
Nou dan doe ik ook een schepje: Hoe komt het dan dat een OS waar ~75% van alle webservers van het internet op draait dan zoveel minder virussen kent? Hoe komt het dan dat voor een besturingssysteem (Unix) wat al bijna dan 40 jaar bestaat en waar een serie andere bekende OS-en (Linux, FreeBSD, NetBSD etc.) van afgeleid zijn zoveel minder virussen bestaan? Nou???
Nou dan doe ik ook een schepje: Hoe komt het dan dat een OS waar ~75% van alle webservers van het internet op draait dan zoveel minder virussen kent? Hoe komt het dan dat voor een besturingssysteem (Unix) wat al bijna dan 40 jaar bestaat en waar een serie andere bekende OS-en (Linux, FreeBSD, NetBSD etc.) van afgeleid zijn zoveel minder virussen bestaan? Nou???
/u/102837/Windows%25208%2520logo.png?f=community){kind=small}
Lijkt me logisch: ik zou als hacker ook thuis gebruikers uitzoeken die geen reet verstand hebben van beveiliging en internet en daarbij allemaal als administrator ingelogd zijn. En laat die mensen nou windows draaien. Servers zijn over het algemeen toch wel iets beter beveiligd met beter definities van rechten van gebruikers. Hoewel windows als server OS natuurlijk nooit 100% veilig kan zijn mag ik toch aannemen dat virussen zich eigenlijk altijd via onkundige thuisgebruikertjes verspreiden. (keer adaware op Windows ME bij een kennis gedraait, 950 hits ) Oh en dat Win2003 kwetsbaar is is niet netjes natuurlijk, maja, wie gaat er nou browser op een server 
Ik vind win XP met SP2 overigens al veel beter beveiligd, nu moet je die mensen afleren om overal 'ja' tegen te zeggen.
) Oh en dat Win2003 kwetsbaar is is niet netjes natuurlijk, maja, wie gaat er nou browser op een server Ik vind win XP met SP2 overigens al veel beter beveiligd, nu moet je die mensen afleren om overal 'ja' tegen te zeggen.
De mensen afleren om overal 'ja' tegen te zeggen? Die WMF render engine zit toch niet voor niets in Windows. Stockholm Syndroom. Het probleem ligt gewoon bij MS hoor, zij maken de fout, kan gebeuren. Maar iedere fout bij MS is gelijk dat er willekeurige code op het systeem uitgevoerd kan worden. De hele security is gewoon verkeerd opgezet bij Windows, dat is nou eenmaal zo. Je kan alleen maar hopen dat ze het met Vista fixen, anders denk ik toch echt dat ze meer en meer moeite gaan krijgen om hun marktaandeel te behouden.
Security through obscurity is onzin. Er zijn geen virussen voor de Mac omdat er geen gebruikers zijn, is onzin. Een van de vroege Longhorn builds die door onder de 100.000 mensen gebruikt werd had al een exploit m.b.t. de Shell. Hetzelfde met die mobiele telefoonvirussen. Het is gewoon veel moeilijker om een malware achtig virus te schrijven voor de Mac (Unix).
Security through obscurity is onzin. Er zijn geen virussen voor de Mac omdat er geen gebruikers zijn, is onzin. Een van de vroege Longhorn builds die door onder de 100.000 mensen gebruikt werd had al een exploit m.b.t. de Shell. Hetzelfde met die mobiele telefoonvirussen. Het is gewoon veel moeilijker om een malware achtig virus te schrijven voor de Mac (Unix).
En toch blijf ik met een vraag zitten: Hoezo duurt het zo lang totdat Microsoft hier een patch voor heeft ??
:strip_exif()/u/17357/3fmUTkuiken2.gif?f=community){kind=small}
Zie het als een toets voor indirecte flame
Op dit item kan niet meer gereageerd worden.