Microsoft waarschuwt voor zero day-aanval via tiff-afbeeldingen

Microsoft waarschuwt voor een lek in Vista, oude versies van Office en Lync, dat actief misbruikt wordt. De kwetsbaarheid wordt misbruikt via speciaal vervaardigde tiff-afbeeldingen. Microsoft heeft een tijdelijke fix uitgebracht die voorkomt dat tiff-afbeeldingen nog langer te openen zijn.

Windows Vista en Windows Server 2008 en Office 2003 tot en met 2010, zijn kwetsbaar volgens Microsoft, naast alle versies van Lync. Aanvallers kunnen de manier waarop componenten van de software tiff-afbeeldingen afhandelen misbruiken, waardoor ze beheerders-rechten kunnen verkrijgen op getroffen systemen. De recentste versies van Windows en Office zijn niet vatbaar voor deze zero day-aanvallen.

Het lek wordt actief misbruikt maar tot nu toe zijn alleen aanvallen in het Midden-Oosten en Zuid-Azië aangetroffen. Gebruikers worden verleid om op e-mailbijlagen te klikken. Het gaat daarbij om Word-bestanden die speciaal vervaardigde tiff-afbeeldingen bevatten. Microsoft heeft een tijdelijke fix uitgebracht die simpelweg de tiff-codec uitschakelt en dus voorkomt dat de afbeeldingen nog langer zichtbaar zijn. Daarnaast raadt Microsoft aan EMET uit te rollen, in afwachting van een permanente fix.

IT-banen

Reacties (58)

Schnitzel 6 november 2013 08:40

Bij het lek krijgt de aanvaller dezelfde rechten als de huidige gebruiker. [...] "An attacker who successfully exploited the vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights," Microsoft says.[...] (http://www.darkreading.co...ay-attacks-expl/240163570)

Een oplossing kan nog wel even duren. [...] "Given the close date of the next Patch Tuesday for November, we don't believe that we can count on a patch arriving in time; we will probably have to wait until December, which makes your planning for a work-around even more important." [...](http://www.darkreading.co...ay-attacks-expl/240163570)

Vandaar waarschijnlijk ook dat MS de codec voor TIFF's uitschakelt tot er een fix voor gevonden is.

CMG @Schnitzel • 6 november 2013 09:17

Gezien de severity en het feit dat hij actief misbruikt wordt, zullen ze hem waarschijnlijk als out-of-band update uitbrengen, maak je maar geen zorgen.

Verwijderd 6 november 2013 08:39

De meest recente versies van Windows en Office zijn niet vatbaar voor zero day-aanvallen.

Waarom niet?

MAX3400

Microsoft

@Verwijderd • 6 november 2013 09:05

Omdat je in het gelinkte artikel kan lezen dat het om een probleem gaat in de GDI+ libraries die ervoor zorgen dat het TIFF-bestand kan worden geopend en daarna een buffer overflow genereren. Als je dan iets verder leest op TechNet, staat er duidelijk dat na Vista en Server 2008 (en dus indirect ook na Office 2010) een nieuwe branch van GDI+ is uitgebracht waar het euvel dus blijkbaar niet blijkt te bestaan.

/disclaimer: aangezien ik geen developer ben, is het mogelijk dat ik de benamingen van releases niet correct heb verwoord

[Reactie gewijzigd door MAX3400 op 23 juli 2024 04:43]

Verwijderd @MAX3400 • 6 november 2013 20:35

ik herinner mij dat een aantal jaren terug ook al een exploit was gevonden in TIFF bestanden
waardoor ook al dmv. een bufferoverflow eigen shellcode uitgevoerd kon worden

ik vind het vreemd dat ze geen experts hebben zitten die wanneer een bepaald stuk software of implementatie.. kapot.. is dat ze niet verder kijken of het zelfde soort fout meer voor komt

ariekanari @Verwijderd • 6 november 2013 10:59

Het "waarom niet?" is een volkomen terechte opmerking.
Zoals MAX3400 al zegt de reden staat wel vermeld in het gelinkte artikel en vat het kort en krachtig samen: "… om een probleem gaat in deGDI+ libraries die ervoor zorgen dat het TIFF-bestand kan worden geopend en daarna een buffer overflow genereren."

En dat is precies hetgeen dat in het Tweakers artikel ontbreekt. Tweakers heeft dus een onvolledig en daardoor een onduidelijk artikel opgesteld.
Het kan niet de bedoeling zijn dat ook gelinkte artikelen moeten worden gelezen om hetgeen dat in een artikel op Tweakers staat vermeld te kunnen begrijpen. Alle relevante info behoort op hoofdlijnen in het Tweakers bericht te staan en het gelinkte artikel bevat mogelijk meer specifieke en/of technische achtergrondinformatie.

sfc1971 @Verwijderd • 6 november 2013 09:21

FTFY: De meest recente versies van Windows en Office zijn niet vatbaar voor DEZE zero day-aanvallen.

Het is aan de lezer om te bepalen waarom de orginele zin deed voorkomen dat de meest recente versies van Windows en Office nietvatbaar zijn voor deze en ANDERE aanvallen.

Die overigens geen zero-day meer zijn als MS tijd heeft gehad een patch klaar te maken.

mad_max234 @sfc1971 • 6 november 2013 12:26

Gelukkig kunnen wij als mensen nog zelf nadenken en dingen aanvullen, een van ons beste vaardigheid, maak daar soms gewoon eens gebruik van als zin niet kan kloppen weet je toch dat het iets anders moet zijn en als het goed is kan je als mens prima de zin zelf kloppende maken met het ontbrekende woord, typo, etc. Zelfs als we alle klinkers weghalen kan je de zin meestal nog prima ontcijferen. Mierenneuken op typo of woord wat ontbreekt is wat mijn betreft ongewenst of overbodig.

En vind je het toch belangrijk om te laten liggen, boven aan het artikel staat naam van schrijver, is gebruikelijk om die dan even PM te sturen, zullen ze waarderen.

Vriezenaar 6 november 2013 09:06

En als je nu Windows 7 SP1 hebt met Office 2010, ben je dan ook gevoelig hiervoor? Of dan ineens niet? Want Windows 7 SP1 staat weer bij non-affected systems.

Ergomane @Vriezenaar • 6 november 2013 09:36

Goed punt. Op Windows 8.1 met Office 2010 SP2 weigert de Fixit te installeren met de mededeling dat deze niet van toepassing is op uw systeem of toepassingen.

matt1991 @Ergomane • 6 november 2013 11:11

Bij mij werkt de fixit ook niet met Office 2010 Pro Plus SP2 en Windows 8.1 pro, ik krijg de zelfde fout melding

Ergomane @matt1991 • 6 november 2013 15:29

Ik ben er nog even ingedoken en ben uiteindelijk op een gedetailleerde uitleg gestuit: http://blogs.technet.com/...rough-word-documents.aspx

Highlight: Office 2010 is niet kwetsbaar als het op Windows 7 of 8 draait. De gehele quote:

"Our initial investigations show that the vulnerability will not affect Office 2013 but will affect older versions such as Office 2003 and 2007. Due to the way Office 2010 uses the vulnerable graphic library, it is only affected only when running on older platforms such as Windows XP or Windows Server 2003, but it is not affected when running on newer Windows families (7, 8 and 8.1). "

Overigens beschermt de protected view van Office 2010 ook enigszins tegen de exploit, zolang de gebruiker het niet uitschakeld (printen, bewerken).

photofreak @Ergomane • 6 november 2013 22:24

Misschien een kleine aanvulling.

McAfee heeft de zero-day op 31 oktober gedetecteerd en hem waarschijnlijk in de dagen daarna gemeld aan Microsoft.
Of hoe ze het zelf zeggen:
"Last Thursday morning (October 31), our Advanced Exploit Detection System (AEDS), (...) , detected a suspicious sample targeting Microsoft Office. After some investigation, we confirmed this is a zero-day attack."
(bron: http://blogs.mcafee.com/m...geting-microsoft-office-2)

Echter lijkt deze zero-day al een stuk langer misbruikt te worden.
De eerste vermelding op VirusTotal.com stamt uit september 2013 en dan gaat het om een belangrijk onderdeel van de exploit. (Om voor de handliggende redenen zal ik geen links posten.)

Op de timestamps zou ik niet vertrouwen, deze lijken aangepast te zijn. Maar deze zeggen dat het oorspronkelijke document in maart 2013 is gemaakt en in september nog een keer is aangepast.

Vriezenaar @Ergomane • 6 november 2013 09:41

Ja op Windows 7 SP1 werkt de Fix-It wel, dus heb het maar even gedaan. Komt vanzelf wel een patch nu. Gebruik eigenlijk nooit Tiff bestanden, maar toch.

MAX3400

Microsoft

@Vriezenaar • 6 november 2013 09:13

Ik denk dat je dan nog wel affected bent; in de WinSXS directory van je machine staan waarschijnlijk beide versies van affected & non-affected libraries. De ene wordt door 7SP1 gebruikt, de andere door Office 2010.

Aangezien Office 2010 dus mogelijk de vulnerable libraries aanspreekt, krijg je dus wel de mogelijke buffer overflow die Microsoft nu heeft "gevonden"

woekele 6 november 2013 08:45

En Windows XP wordt niet meer genoemd? Is toch gewoon nog ondersteund? Dus wel interessant! In http://technet.microsoft.com/en-us/security/advisory/2896666 staat not affected. Mooi.

Maar als je XP hebt met daarop Office 2003, ben je wel weer de sjaak denk ik.

[Reactie gewijzigd door woekele op 23 juli 2024 04:43]

MAX3400

Microsoft

@woekele • 6 november 2013 09:11

XP SP3 is not affected & Office 2003 SP3 is not affected... Gezien het feit dat niet iedereen zijn updates netjes heeft geinstalleerd, kan je niet zomaar stellen dat er geen issues zijn met "XP" of "2003" zoals je stelt.

woekele @MAX3400 • 6 november 2013 09:35

Office 2003 SP3 is wél affected zoals ik het lees.

En ja, ik heb het over XP SP3. Als je SP3 niet hebt, ben je sowieso al kwetsbaar voor 1000 dingen.

[Reactie gewijzigd door woekele op 23 juli 2024 04:43]

keranoz

@woekele • 6 november 2013 08:47

Waarschijnlijk werkt de exploit daar ook gewoon.

Edit: Zoals MAX3400 hieronder zegt, XP zonder SP3 en Office 2003 zonder is SP3 is dus wel kwetsbaar.

[Reactie gewijzigd door keranoz op 23 juli 2024 04:43]

HummerHealey 6 november 2013 08:57

Verontrustend, een gewoon tiff- je, niet eens een verborgen executablel of script.

Dreamvoid

Malware

@HummerHealey • 6 november 2013 14:14

Plaatjes en PDF's vormen al jaren een dankbare bron van exploits. Van de libraries die gebruikt worden om ze te openen/manipuleren zwerven vaak nog oude versies op systemen rond: applicaties worden vaak niet zo actief gepatched als het OS.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 04:43]

RobWu 6 november 2013 18:30

Linux en Windows vergelijken, ik snap nu je commentaar.......

Voor de 'media' is een bug in Linux wat minder interessant dan een in Windows.
Helaas maar waar.

De groep gebruikers met Windows is vele malen groter, dus patchen ligt dan ook een stuk gevoeliger. Gaat er wat mis, is er gelijk een enorme grote groep die hier last van heeft. Zeker met de Office software.

In de nieuwere versies van Windows en Office (zie de MS tech pagina's) is deze 'bug' geen issue, dus je zou kunnen zeggen dat de bug al gefixt was. MS moet toch ook een keer stoppen met ondersteunen van oudere systemen. Apple doet dit al jaren, en bij MS is het altijd weer 'boeh en bah' als er bug opduikt en er niets gebeurt. Ik wacht met popcorn het geklaag over de non-ondersteuning van XP af....

Alle software heeft bugs, zelfs bij Linux zoals je zelf al aangeeft. En het is niet altijd het OS zelf, maar soms codecs of andere zaken waar hackers gebruik van maken.

MadEgg @RobWu • 6 november 2013 22:54

MS moet toch ook een keer stoppen met ondersteunen van oudere systemen. Apple doet dit al jaren, en bij MS is het altijd weer 'boeh en bah' als er bug opduikt en er niets gebeurt.

Helemaal mee eens, daar hoor je mij niet over klagen. Ze zouden het al veel eerder doen, ik denk wel dat na het matige succes van Windows Vista wel zeer verstandig was om de support periode van Windows XP op te rekken, maar met WIndows 7 is er een best acceptabele opvolger voor Windows XP gekomen, dus het is hoog tijd dat de ondersteuning daarvan stopgezet wordt.

En er hebben dan zeker mensen last van als er iets misgaat met een fix voor een patch, maar die groep is ruwweg even groot als de groep die er last van heeft dat nu TIFF ondersteuning uitgeschakeld is: de mensen die TIFF gebruiken.

Silent7 6 november 2013 08:57

En Office2000?
Te erg misschien heb ze erna allemaal erop gezet maar met mijn gebruik kom ik toch altijd terug bij 2000 de laatste versie die niet meedenkt en gewoon doet wat ik vraag zonder het daarna automatisch door te zetten bij vervolgacties.
Vrouw en zoon werken met 2013 maar ik kan er niet aan wennen en grijp toc altijd terug op m'n vertrouwde 2000 premium

MAX3400

Microsoft

@Silent7 • 6 november 2013 09:08

Office 2000 – Microsoft will continue to offer mainstream support for Office 2000 through June 30, 2004. The Office 2000 extended support period will last from July 1, 2004 through July 14, 2009. The latest Office 2000 service pack is required for hotfix support.

Oftewel; als je er vrijwillig voor kiest om een produkt te blijven gebruiken dat al minstens 4 jaar niet meer ondersteund is, lijkt het me niet meer dan logisch dat in die 4 jaar er mogelijk exploits/issues zijn gevonden die aktief misbruikt kunnen worden.

Neemt niet weg dat er waarschijnlijk onvoldoende mensen ter wereld zijn die nog Office 2000 gebruiken waardoor het aantal daadwerkelijk misbruikte exploits 0 is.

wiseger @MAX3400 • 6 november 2013 10:01

@MAX3400

En waarom is het logisch dat een veel gebruikt programma issues heeft met buffer overflows die actief misbruikt kunnen worden?

ZpAz

@wiseger • 6 november 2013 10:11

Ongelukkig verwoord, in elk programma zitten fouten. Er is een bepaalde duur dat programma's ondersteund worden en gratis gerepareerd worden. Zeg maar vergelijkbaar met garantie op fysieke producten. Het is niet rendabel om voor altijd bugfixes voor producten uit te brengen die je jaren geleden hebt uitgebracht.

wiseger @ZpAz • 6 november 2013 11:19

@ZpAz

Buffer overflows zijn geen fouten, het zijn keuzes van de programmeur. Het heeft ook niets met garanties of fixes te maken, het heeft te maken met de kwaliteit van de programmatuur en dat is wat mij toch nog steeds keer op keer verbaasd.

MadEgg @wiseger • 6 november 2013 12:02

Het is wel degelijk een fout. Dat het gebeurt wellicht niet, maar de code hapert wel. Buffer overflows zijn te voorkomen door je input te checken. Als je kijkt of de lengte van je input langer is dan je buffer, dan geef je een foutmelding in plaats van het er toch te proberen in te stoppen, met alle gevolgen van dien.

halofreak1990 @MadEgg • 6 november 2013 12:50

"Het is wel degelijk een fout."
Vooral van de programmeur, maar in zekere mate ook van het framework.

MadEgg @halofreak1990 • 6 november 2013 13:02

Ik weet niet waar je hier precies op doelt, maar een framework heeft toch ook een of meerdere programmeurs?

Dreamvoid

Malware

@MadEgg • 6 november 2013 14:12

Denk dat hij bedoelt dat als je als programmeur een library gebruikt van het framework, je moeilijk verantwoordelijk kan zijn voor lekken in die library (die via jouw applicatie wordt misbruikt).

halofreak1990 @Dreamvoid • 7 november 2013 20:04

Dit is inderdaad wat ik bedoelde.
Je kan als programmeur nog zo goed alles checken, maar tegen een lek framework doe je niets. Omgekeerd, als je als programmeur je werk niet goed doet, helpt ook een goed framework niet.

.oisyn Moderator Devschuur® @CoreIT • 6 november 2013 18:54

Nonsens, het niet controleren van je input kan ook simpelweg vergeten zijn of foutief gebeuren. Het is dus lang niet altijd een bewuste keuze om het gewoon maar niet te doen. En ja, zelfs de beste programmeurs ter wereld maken dat soort fouten weleens.

.oisyn Moderator Devschuur® @CoreIT • 6 november 2013 20:29

vertel me maar niets over development, dat ga je verliezen

Oh wat hopeloos arrogant

. Ik ga er verder geen woorden aan vuil maken, want het is wel duidelijk dat die plaat voor je hoofd inmiddels enorme proporties heeft aangenomen. En idd, al die dingen die je noemt zeggen geen zak over je daadwerkelijke kwaliteiten

. Je stelligheid daarentegen destemeer.

[Reactie gewijzigd door .oisyn op 23 juli 2024 04:43]

Firesphere @CoreIT • 6 november 2013 21:43

Prachtig. Een "senior" die denkt .oisyn de les te kunnen lezen?
Dus, jij schrijft consequent foutloos in {insert taal}? Geloof ik niets van. Iedereen vergeet wel eens iets, of doet een verkeerde aanname.

B.O.T.
Bijzonder dat Microsoft heeft besloten voor een volledige blokkade in plaats van een advies.
Met de gegeven patch worden er dus automatisch blokken informatie in Office-producten volledig onbruikbaar. Ah well. Het is natuurlijk een nood-oplossing.

Cergorach @Silent7 • 6 november 2013 09:10

Office 2000 valt dan ook gewoon geheel buiten extended support en dus geen security fixes meer. Windows XP en Office 2003 hebben nog extended support tot april 2014 en dus nu nog security fixes, maar over vijf maanden dus ook niet meer.

Silent7 @Cergorach • 6 november 2013 09:23

Hahaha gevalletje security through obscurity hier dus.
Win 7 sp1 met wat proggies voor veiligheid moeten de rest maar doen

sambalbaj @Silent7 • 6 november 2013 12:30

Office 2000, kom zelfs nog Office 97 tegen bij flinke organisaties, is uiteraard voor wel meer vatbaar.

Microsoft raadt hierboven al EMET aan, niet echt een specifieke oplossing maar houdt wel een hoop tegen.

Salmon 6 november 2013 12:11

Dus als ik het goed begrijp kunnen TIFF's nu niet meer worden bekeken in zijn geheel?

CivLord

@MadEgg • 6 november 2013 13:46

De functionaliteit tijdelijk uitschakelen kan meteen, terwijl het oplossen van de bug tijd kost.

Zelfs de beste en snelste programmeur ter wereld heeft tijd nodig om een patch te schrijven en te testen. Laat die programmeur in een willekeurig groot bedrijf werken dan komt er al snel extra tijd aan overhead bij, laat die programmeur een gewone sterveling zijn die met andere stervelingen samen zo goed en zo snel mogelijk een patch schrijven en te testen, dan ben je al snel een week verder.
Dan vind ik het wel zo netjes dat ze nu meteen een fix hebben om de kwetsbaarheid uit te schakelen terwijl ze bezig zijn met een elegantere reparatie.

RobWu @MadEgg • 6 november 2013 17:05

TIFF is een fileformaat dat de meeste mensen niet eens gebruiken, dus het tijdelijk uitschakelen in Office zullen een hoop mensen niet eens merken.

En wat dan... de boel open laten staan en alsnog de fout in gaan.

MS kan het ook nooit goed doen he??

MadEgg @RobWu • 6 november 2013 17:19

Oh jawel, gewoon de bug fiksen. Het maken van een patch die functionaliteit uitzet is ook wel even werk natuurlijk en kan net zo goed problemen bij gebruikers opleveren als een onvoldoende geteste patch die de daadwerkelijke bug oplost.

MS kan het goed doen door het net zo te doen als op Linux gebruikelijk is: op het moment dat het lek de media bereikt is de patch die het lek oplost over het algemeen al uitgebracht.

Firesphere @MadEgg • 6 november 2013 22:14

"De bug fiksen" Right. De beste oplossing is echt "disable and wait".
Als ik het slot van jouw voordeur uitboor en zo binnenkom, is jouw oplossing ook "wachten tot de slotenmaker er is"? of los je het op door tot die slotenmaker er is, de boel even goed dicht te timmeren met extreme maatregelen?

En je Linux argument is grote kul. Niet waar, er zijn regelmatig bugs in Linux die langer duren. Dat ze minder worden toegepast in exploits is een gevolg van het gebruik.

Microsoft kan het nooit goed doen in de ogen van de self-proclaimed techies helaas.

MadEgg @Firesphere • 6 november 2013 22:35

Als jij mijn slot uitboort dan ga ik bij de deur zitten tot de slotenmaker er is, wat niet echt lang gaat duren. Timmer ik de boel dicht dan kan ik zelf mijn huis ook niet in en uit, en dat is niet wenselijk.

Stel, je vernielt een raam en het is om wat voor reden dan ook niet mogelijk het raam te vervangen, dan zal er waarschijnlijk inderdaad een flinke plaat voor geschroefd worden om de boel dicht te houden.

MAAR, de vergelijking gaat mank. Hier is niet iets stukgemaakt wat heel was. Dit was al die tijd al stuk. Als een webserver gehackt wordt snap ik dat de beheerders eerst de site gewoon plat gooien om de schade te herstellen.

In dit geval is het een bug die er altijd al ingezeten heeft. Volgens jouw redenatie hadden ze de software dan nooit mogen verkopen.

"Disable and wait" duidt op teveel bureaucratie en onbeheersbare code. Een buffer overflow oplossen is echt geen rocket science hoor, en als je release systeem fatsoenlijk in elkaar zit zorgen de automatische unit-tests er achteraf voor dat je geen domino-effect teweeg gebracht hebt.

Firesphere @MadEgg • 6 november 2013 22:37

Nee, want een baksteen door de ruit gooien kan pas sinds gisteren. Dat de vergelijking mank gaat, maakt de ruit niet beter, het slot niet beter en de oplossing niet beter.

Ik zou zeggen, ga voor Microsoft werken en rol patches uit zodra ze bekend zijn.

jaapio88 @Salmon • 6 november 2013 12:54

zo lees ik het wel ja

--Andre-- @jaapio88 • 6 november 2013 13:21

Door software die de desbetreffende library gebruikt om TIFF te parsen. Als je software gebruikt met een eigen TIFF implementatie heeft maakt het geen verschil.

Techrvw 6 november 2013 09:05

EMET is een mooie tool!
Zeker aan te raden om te gebruiken als de nieuwe patch pas in December gaat komen!

ApexAlpha 6 november 2013 11:05

Tiff-afbeeldingen, dat is lang geleden dat ik daar iets over gehoord heb.

Vroeger was er ook een tiff-exploit op de Playstation Portable van SONY. Dit was een makkelijke manier om een custom OS en homebrew draaiend te krijgen.

Dreamvoid

Malware

@ApexAlpha • 6 november 2013 14:07

TIFF is een populaire attack vector, zie ook deze Linux vulnerability in de libtiff library die afgelopen April gevonden is.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 04:43]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (58)

Sorteer op:

Weergave: