Nieuw lek in XPSP2 via WMF files

Verwijderd schreef op woensdag 28 december 2005 @ 21:14:
http://secunia.com/advisories/18255/ (Secunia, de mensen die het lek gevonden hebben)

oheng schreef op donderdag 29 december 2005 @ 13:11:
Wat ik me afvraag, is in hoeverre mensen die niet de MS Picture and Fax viewer gebruiken affected zijn. Dus ipv daarvan bijv. IrFanView of XnView gebruiken, maken die ook gebruik van SHIMGVW.DLL?

En hoe zit het met systemen die altijd "detail view" in explorer.exe hebben, in tegenstelling tot thumbnail view?

Workarounds

Microsoft has tested the following workaround. While this workaround will not correct the underlying vulnerability, it will help block known attack vectors. When a workaround reduces functionality, it is identified in the following section.

Un-register the Windows Picture and Fax Viewer (Shimgvw.dll) on Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 and Windows Server 2003 Service Pack 1

To un-register Shimgvw.dll, follow these steps:

1. Click Start, click Run, type "regsvr32 -u %windir%\system32\shimgvw.dll" (without the quotation marks), and then click OK.
2. A dialog box appears to confirm that the un-registration process has succeeded. Click OK to close the dialog box.

[b]Impact of Workaround:[b] The Windows Picture and Fax Viewer will no longer be started when users click on a link to an image type that is associated with the Windows Picture and Fax Viewer.

To undo this change, re-register Shimgvw.dll by following the above steps. Replace the text in Step 1 with "regsvr32 %windir%\system32\shimgvw.dll" (without the quotation marks).

[ Voor 19% gewijzigd door de Rochebrune op 29-12-2005 18:07 ]

Technical details for those curious:

The problems exists in gdi32.dll's metafile parser, NOT the shimgvw.dll as some sites report. Disabling shimgvw.dll only stops one vector of exploitation.

The error handling code in gdi32.dll looks like this

code:.text:77F24914 checkError: ; CODE XREF: PlayMetaFileRecord(x,x,x,x)+18B4j
.text:77F24914 movzx eax, word ptr [ebx+6]
.text:77F24918 cmp eax, 0Fh
.text:77F2491B jz continueParsing ; default
.text:77F24921 push 0
.text:77F24923 lea ecx, [ebx+10]
.text:77F24926 push ecx
.text:77F24927 movzx ecx, word ptr [ebx+8]
.text:77F2492B push ecx
.text:77F2492C push eax
.text:77F2492D push dword ptr [ebp-124]
.text:77F24930 call _Escape@20 ; Escape(x,x,x,x,x)


Unfortunately one of the parser routines allows an attacker to control ebx. Let's see where _Escape takes us...

(after some jumping around)

code:.text:77F26935 mov esi, [ebp+arg_10]
...
.text:77F33EEF setAbortProc: ; CODE XREF: PlayMetaFileRecord(x,x,x,x)+1007Bj
.text:77F33EEF push esi
.text:77F33EF0 push dword ptr [ebp-8]
.text:77F33EF3 call _SetAbortProc@8 ; SetAbortProc(x,x)


Oh dear, pushing an attacker-controlled variable to SetAbortProc! Any guesses as to what SetAbortProc does? Yup, that's right.

My patch was quite simple:

code:.text:77F33EEF setAbortProc: ; CODE XREF: PlayMetaFileRecord(x,x,x,x)+1007Bj
.text:77F33EEF nop
.text:77F33EF0 nop
.text:77F33EF1 nop
.text:77F33EF2 nop
.text:77F33EF3 nop
.text:77F33EF4 nop
.text:77F33EF5 nop
.text:77F33EF6 nop
.text:77F33EF7 nop
.text:77F33EF8 jmp loc_77F34525


No SetAbortProc call = no code execution vector. And as a handy side effect, it turns out the SetAbortProc call isn't even needed so applications don't crash. Behold the power of the nop!

Ok. Attempt 2. Again, this is ONLY for Windows XP SP2 fully patched systems, with gdi32.dll file version "5.1.2600.2770 (xpsp_sp2_gdr.051005-1513)" and SHA-1 hash fa02573ce6239d1c375db93058810fb968390485.

1. Download http://r-1.ch/gdi32.zip
2. Extract to windows/system32/dllcache. Yes to overwrite.
3. Rename windows/system32/gdi32.dll to gdi32.old
4. Copy windows/system32/dllcache/gdi32.dll to windows/system32/
5. Reboot.

Press "Cancel" to any Windows File Protection prompts.

You can get burned even while working in a DOS box! This happened on one of our test machines where we simply used the WGET command-line tool to download a malicious WMF file. That's it, it was enough to download the file. So how on earth did it have a chance to execute?
The test machine had Google Desktop installed. It seems that Google Desktop creates an index of the metadata of all images too, and it issues an API call to the vulnerable Windows component SHIMGVW.DLL to extract this info. This is enough to invoke the exploit and infect the machine. This all happens in realtime as Google Desktop contains a file system filter and will index new files in realtime.

[ Voor 41% gewijzigd door Vaan Banaan op 29-12-2005 18:04 ]

Dryw.Filtiarn schreef op donderdag 29 december 2005 @ 18:52:
Het systeem is een AMD Athlon 64 (die volgens diverse bronnen) geen probleem zou moeten vormen.

[ Voor 6% gewijzigd door pasta op 30-12-2005 18:18 ]

[ Voor 32% gewijzigd door Stan op 30-12-2005 17:07 ]

Stan schreef op vrijdag 30 december 2005 @ 17:02:
(en NEE, niet vragen/mailen voor de code die je misschien niet kunt vinden, je gaat er toch alleen mee klieren).

Mijn vraag is, hoe kan ik een kantoor dat geheel op Windows XP icm IE draait nu beveiligen?

Een filter op de proxy/gateway voor WMF is niet echt afdoende lees ik overal.

En om nou die viewer uit te schakelen gaat me wat ver,

net als het installeren van Firefox for everyone.

Mijn tweede vraag trouwens is of mensen al andere bestandstypes hebben gezien met deze sploit, bijvoorbeeld de genoemde JPG of GIF, want dan ben je natuurlijk zonder twijfel meteen de sjaak.

Breepee schreef op vrijdag 30 december 2005 @ 18:55:
Is er ook maar iets of iemand die dat hele .wmf formaat uberhaupt gebruikt?

[ Voor 23% gewijzigd door HunterPro op 30-12-2005 19:26 ]

Breepee schreef op vrijdag 30 december 2005 @ 18:55:
Is er ook maar iets of iemand die dat hele .wmf formaat uberhaupt gebruikt?

Stan schreef op vrijdag 30 december 2005 @ 17:02:
Mijn vraag is, hoe kan ik een kantoor dat geheel op Windows XP icm IE draait nu beveiligen? Een filter op de proxy/gateway voor WMF is niet echt afdoende lees ik overal. En om nou die viewer uit te schakelen gaat me wat ver, net als het installeren van Firefox for everyone.

Stan schreef op vrijdag 30 december 2005 @ 17:02:
Mijn tweede vraag trouwens is of mensen al andere bestandstypes hebben gezien met deze sploit, bijvoorbeeld de genoemde JPG of GIF, want dan ben je natuurlijk zonder twijfel meteen de sjaak. Dat zou al helemaal een ultieme code red zijn (wat dit ook al is, maar goed). Waar en hoe?

[ Voor 3% gewijzigd door Verwijderd op 31-12-2005 01:09 ]

[ Voor 41% gewijzigd door Bart1983 op 31-12-2005 17:49 ]

Bart1983 schreef op zaterdag 31 december 2005 @ 17:44:
En op fok staat het nu ook en volgens mij is de naam van de kaspersky expert de schouw die hier ook regelmatig mensen helpt

EDIT: Ow ik zie dat hij hier net boven staat . Maar zijn voor het detecteren van dit virus extra definities nodig of word deze herkent door de oude wmf exploit definitie?

Verwijderd schreef op vrijdag 30 december 2005 @ 19:41:
[...]
Paint Shop Pro

Dryw.Filtiarn schreef op zondag 01 januari 2006 @ 14:29:
Voor windows XP geldt dat in ieder geval. Op moment dat je de file aanklikt zonder openen wordt de file al geparst om de bijbehorende bestandsinformatie op te halen. Dit is voldoende om de Exploit uit te voeren.

Rochebrune schreef op maandag 02 januari 2006 @ 11:52:
Er is een tijdelijke fix beschikbaar:
http://www.hexblog.com/2005/12/wmf_vuln.html

Dryw.Filtiarn schreef op maandag 02 januari 2006 @ 12:51:
[...]


Persoonlijk ben ik zelf niet zo'n groot voorstander van dergelijke 3th party fixes. Waarom niet? Wie zegt dat degene die zo'n fix uitbrengt niet zelf een of andere backdoor of andere malicious zooi in heeft gebouwd? Microsoft zelf is op dat gebied tenminste nog enigszins te vertrouwen.

Je kunt het verwijderen dit te doen. Ga naar Start, Uitvoeren en tik "regedit". Ga daarna weer Start, dan Uitvoeren te gaan en tik "cmd". Typ daarna het onderstaande en druk op enter:

attrib -s -h c:\windows\system32\taskdrv32.exe

Nu even één keer op Ctrl+Alt+Delete drukken en het process genaamd taskdrv32.exe sluiten. Hierna weer naar de commandoprompt en het bestand verwijderen:

del c:\windows\system32\taskdrv32.exe

Het virus is nu van je computer. Het probleem is alleen dat het ook het register heeft aangepast zodat het elke keer dat jij een programma wilt starten, het virus ook gestart wordt (wat nu dus niet meer gebeurd omdat je het virus hebt verwijderd). Ga naar de Register-editor die je net hebt opgestart en ga naar de volgende map:

HKEY_CLASSES_ROOT\exefile\shell\open\command

Verander daar de standaardwaarde van "taskdrv32.exe "%1" %*" in "%1" %* (dus gewoon het "taskdrv32.exe" stuk verwijderen). Dat is alles om van het virus af te komen...

Dryw.Filtiarn schreef op maandag 02 januari 2006 @ 12:51:
[...]

Persoonlijk ben ik zelf niet zo'n groot voorstander van dergelijke 3th party fixes. Waarom niet? Wie zegt dat degene die zo'n fix uitbrengt niet zelf een of andere backdoor of andere malicious zooi in heeft gebouwd? Microsoft zelf is op dat gebied tenminste nog enigszins te vertrouwen.

Note: Tom has taken this thing apart and looked at it very, very closely. It does exactly what it advertises and nothing more. The wmfhotfix.dll will be injected into any process loading user32.dll. It then will then patch (in memory) gdi32.dll's Escape() function so that it ignores any call using the SETABORTPROC (ie. 0x09) parameter. This should allow for Windows to display WMF files normally while still blocking the exploit. We want to give a huge thanks to Ilfak Guilfanov for building this and for allowing us to host and distribute it.

Ilfak Guilfanov has released an updated version of his unofficial patch for the Window's WMF issue. We have reverse engineered, reviewed, and vetted the version here.

Ilfak has completed a nice, safe, WMF system vulnerability tester. This page describes it and contains the latest download link ...

[ Voor 12% gewijzigd door de Rochebrune op 02-01-2006 13:46 ]

Dryw.Filtiarn schreef op maandag 02 januari 2006 @ 14:33:
Ach ik wacht wel geduldig af wat MS gaat doen hiermee. Ik heb een Athlon 64 (dus DEP) en ik heb al gekeken wat het effect is van de betreffende WMF files op mijn systeem Helemaal nul-komma-niks, ik zit dus wel veilig, fix of geen fix.

[ Voor 12% gewijzigd door de Rochebrune op 02-01-2006 14:58 ]

Verwijderd schreef op maandag 02 januari 2006 @ 16:06:
Het vreemde was wel dat de locatie die Norton opgaf een tijdelijke map was (denk internet cache) en dat Norton daardoor niets aan het virus kon doen (niet kon verwijderen). Waarschijnlijk omdat het dus niet op de PC is gekomen.

-- December 31, 2005 --
Source code for a tool that creates Exploit-WMF files has been posted to the web. This source creates malicious WMF files that exploit the vulnerability in a slightly different way than previous ones. While generic detection has existed since the discovery of Exploit-WMF, this new code requires the first adjustment to that detection in order to cover some exploits that may be created by this source code. The updated detection has been released in the 4664 DAT files.

-- Update 1 --
An email message containing an Exploit-WMF sample built from this new code has been spammed. The message appears as follows:

Subject: Happy New Year
Body: picture of 2006
Attachment: HappyNewYear.jpg (actually a WMF file with a .JPG extension)

Verwijderd schreef op maandag 02 januari 2006 @ 19:44:
Er blijkt nu een nieuwe, licht aangepaste versie van de WMF exploit rond te gaan via e-mail.

[...]

Meer info ook op http://sunbeltblog.blogsp...it-confirmed-in-spam.html

[ Voor 7% gewijzigd door Verwijderd op 02-01-2006 20:01 ]

Dryw.Filtiarn schreef op maandag 02 januari 2006 @ 19:58:
Een kaartje van de McAfee site met statistieken over deze exploit

Verwijderd schreef op maandag 02 januari 2006 @ 20:00:
Op F-Secure's blog werd vandaag alweer melding gemaakt van een schadelijke mail.
Hett wordt met andere woorden pas echt gevaarlijk nu er een tool (zie eerste zin in mijn vorige quote) rondcirculeert waardoor ineens iedereen van die schadelijke WMF-exploits kan produceren.

quote: http://tweakers.net/nieuws/40576/

Het SANS Institute's Internet Storm Center (ISC) wijst Windows-gebruikers er dringend op een onofficiële patch te installeren om op die manier het WMF-lek snel te dichten. Het is onverstandig af te wachten tot Microsoft in actie komt, aldus SANS. De aanbeveling volgt op een nieuwe golf van aanvallen die misbruik maken van de manier waarop Windows metadatabestanden implementeert. Afgelopen zaterdag werd de exploitcode voor dit lek op internet gepubliceerd, wat de zaak bepaald geen goed heeft gedaan. Inmiddels zijn er al diverse virussen ontdekt, waaronder HappyNewYear.jpg dat via e-mail verstuurd wordt en dat door Windows als WMF-bestand herkend en uitgevoerd wordt om vervolgens Backdoor.Bifrose te downloaden.

Computer / Hacker / Virus (cartoon/illustratie)HappyNewYear.jpg is niet alleen schadelijk als het wordt aangeklikt, maar wordt ook in werking gebracht als de map, waarin het bestand zit, wordt geopend. Of als het wordt geïndexeerd door een zoekprogramma als Google Desktop. Ilfak Guilfanov, volgens F-Secure een van de beste "low-level" Windows experts in de wereld, heeft een patch geschreven die door het SANS is getest. Het lek blijkt overigens in alle Windows-versies sinds Windows 3.0 aanwezig en treft dus niet alleen gebruikers van Windows XP en Windows Server 2003 zoals in een eerder stadium gemeld werd. Het WMF-lek wordt al het grootste lek in de computergeschiedenis genoemd.

[ Voor 3% gewijzigd door TheovdS op 02-01-2006 21:54 . Reden: Patch link toegevoegd ]

[ Voor 98% gewijzigd door DaannO op 02-01-2006 22:10 ]

DaannO schreef op maandag 02 januari 2006 @ 21:55:
Heb net over die patch op nu.nl gelezen. .........

[ Voor 35% gewijzigd door Coach4All op 02-01-2006 22:17 . Reden: Hij had de thread niet gelezen... ]

Coach4All schreef op maandag 02 januari 2006 @ 22:08:
[...]


Heb jij de tread wel gelezen??

offtopic:
Uhmz not exactly denk stille hint om mn post te verwijderen

[ Voor 50% gewijzigd door dr snuggles op 02-01-2006 22:25 ]

For those who are manually patching systems using Ilfak Guilfanov's unofficial patch, handler Tom Liston says that you can install it in an unattended mode by using this incantation:

wmffix_hexblog13.exe /VERYSILENT /SUPPRESSMSGBOXES

We do not have a working .msi version and am actively seeking help from anybody who can get one working. This will make life a whole lot easier for enterprise administrators. Unfortunately the above command will not work pleasantly in a GPO startup script, since a reboot is required for it to take effect. After the reboot, it will try to install again which will create an annoying error message to users.

wwillem schreef op maandag 02 januari 2006 @ 22:24:
Kan deze patch ook op XP Nederlands geinstalleerd worden
http://www.hexblog.com/security/files/wmffix_hexblog13.exe

Ik neem aan van wel, maar je ik gok het er niet op.

TheBorg schreef op maandag 02 januari 2006 @ 22:32:
Ik snap de ophef niet helemaal, Norton Corporate onderschept het ding gewoon.

The results are not all that good:
eTrust-Vet 12.4.1.0 01.01.2006 Win32/Worfo
McAfee 4664 01.01.2006 Exploit-WMF
Symantec 8.0 01.01.2006 Backdoor.Trojan

All the others failed to detect the sample.

[ Voor 18% gewijzigd door tatata op 02-01-2006 22:44 ]

NitroX infinity schreef op maandag 02 januari 2006 @ 22:33:
[...]

Jawel, ik heb 'm er ook al op staan, werkt gewoon.

AW_Bos schreef op maandag 02 januari 2006 @ 22:41:
Ik neem aan dat Microsoft de betere patches maakt dan SANS...

[ Voor 11% gewijzigd door AW_Bos op 02-01-2006 22:45 ]

AW_Bos schreef op maandag 02 januari 2006 @ 22:41:
Leuk, maar als je die onofficiele patch installeert, en microsoft wil dan een patch installeren vanzelf s.m.v. de auto-update, is dat dan niet vragen om problemen omdat de PC niet 'goed' gepatched kan worden. Ik neem aan dat Microsoft de betere patches maakt dan SANS...

simulacrum schreef op maandag 02 januari 2006 @ 22:23:
Wat ik nou interessant vind, is of DEP nou altijd hiertegen helpt of niet. Ik lees hier en daar van wel en ik lees ook soms dat het slechts in enkele gevallen helpt. Heeft dit te maken met of DEP expliciet aangezet is voor alle processen of alleen voor systeem processen (default)?

Als DEP ingrijpt wordt het overtredende proces beeindigd, neem ik aan. Welk proces is dat en is dat een kritiek systeemproces / -service? Zelfs als je niet geinfecteerd wordt, blijft je systeem dan bruikbaar (e.g. IE gekillt) of wordt het toch rebooten?

Koen Rotteveel schreef op maandag 02 januari 2006 @ 22:47:
[...]
DEP blokkeert het proces dat probeert om een buffer overflow (dat vaak wordt veroorzaakt door een programmeer fout) te veroorzaken. Door een buffer overflow wordt code geschreven op een plek waar het niet mag, doordat dat niet gebeurd kan die code natuurlijk ook niet uitgevoerd worden. In het geval bij die 'vulnerability test' breekt hij gewoon het programma af.

NitroX infinity schreef op maandag 02 januari 2006 @ 22:46:
[...]

1. De patch is niet gemaakt door SANS maar door Ilfak Guilfanov.
2. Er wordt dan ook geadviseerd door de maker om zijn patch te uninstallen alvorens een officiëele patch wordt geïnstalleerd.

AW_Bos schreef op maandag 02 januari 2006 @ 22:41:
Leuk, maar als je die onofficiele patch installeert, en microsoft wil dan een patch installeren vanzelf s.m.v. de auto-update, is dat dan niet vragen om problemen omdat de PC niet 'goed' gepatched kan worden. Ik neem aan dat Microsoft de betere patches maakt dan SANS...

[ Voor 12% gewijzigd door Dryw.Filtiarn op 03-01-2006 00:04 ]

Dryw.Filtiarn schreef op dinsdag 03 januari 2006 @ 00:01:
Daar ben ik het niet mee eens wat je nu zegt. Deze exploit kan wel degelijk zonder directe actie van de gebruiker op het systeem komen. Bezoek aan een website waar een file met de WMF exploit staat of een popup waar de WMF exploit in staat is voldoende om deze exploit op je pc binnen te krijgen. IE (meest gebruikt) zal de WMF files automatisch proberen te openen. En inderdaad kun je door te voorkomen dat de WMF files geopend kunnen worden voorkomen dat een exploit met de WMF extensie geopend wordt. ECHTER er zijn inmiddels al meer extensies die gebruikt worden, waaronder het veel gebruikte jpg en gif.

Verwijderd schreef op vrijdag 30 december 2005 @ 19:41:
Zoals op de MS Security Advisory staat (http://www.microsoft.com/...rity/advisory/912840.mspx), kan Internet Explorer deze schadelijke afbeeldingen (WMF, maar ook bijvoorbeeld naar JPG of GIF hernoemd) niét automatisch weergeven of inladen. Schadelijke WMF-bestanden die hernoemd zijn naar bv. JPG of GIF zijn dus niet meteen kwetsbaar in IE aangezien deze niet door de Windows-viewer maar door IE zelf (tevergeefs) proberen geopend te worden.
Schadelijke WMF-bestanden echter worden standaard wel automatisch geopend in de Windows-viewer (XP en 2003), tenzij je bovenstaande stappen uitvoert om eerst een bevestiging te vragen

Dryw.Filtiarn schreef op dinsdag 03 januari 2006 @ 00:01:
Voor de rest kun je je tegen deze exploit voor een deel wel wapenen, o.a. doormiddel van virusscanners, maar een deel van de virusscanners herkend geen van de exploit varianten en en de meeste anderen herkennen slechts enkele varianten. Er is inmiddels zelfs al een proof of concept die het onmogelijk maakt om met de huidige herkenningsmethoden in de AV tools deze exploit te herkennen.

Dryw.Filtiarn schreef op dinsdag 03 januari 2006 @ 00:01:
En eerlijk gezegt is mijn verwachting dat MS nog wel contact zal hebben met de maker van deze patch (mede gezien zijn bekendheid) en daarmee wel zal zorgen dat de MS patch probleemloos geinstalleerd zal kunnen worden

Dryw.Filtiarn schreef op dinsdag 03 januari 2006 @ 00:01:
Daar ben ik het niet mee eens wat je nu zegt. Deze exploit kan wel degelijk zonder directe actie van de gebruiker op het systeem komen. Bezoek aan een website waar een file met de WMF exploit staat of een popup waar de WMF exploit in staat is voldoende om deze exploit op je pc binnen te krijgen. IE (meest gebruikt) zal de WMF files automatisch proberen te openen.

Jazzy schreef op dinsdag 03 januari 2006 @ 00:37:
[...]
Kortom, een simepele patch zal functionaliteit stuk maken.

Technical details: this is a DLL which gets injected to all processes loading user32.dll.
It patches the Escape() function in gdi32.dll. The result of the patch is that the SETABORT escape sequence is not accepted anymore.

I can imagine situations when this sequence is useful. My patch completely disables this escape sequence, so please be careful.

[ Voor 11% gewijzigd door Verwijderd op 03-01-2006 01:03 ]

[ Voor 25% gewijzigd door Verwijderd op 03-01-2006 01:16 ]

Verwijderd schreef op dinsdag 03 januari 2006 @ 01:14:
Ik wacht dan ook liever op een officiële patch van Microsoft zelf, die niet meer functionaliteit blokt dan nodig is en tenminste grondig getest werd.

[ Voor 45% gewijzigd door Verwijderd op 03-01-2006 01:32 ]

Jazzy schreef op dinsdag 03 januari 2006 @ 01:33:
Nee, de geleerden zijn het er namelijk niet over eens of Windows alleen naar de extensie kijkt of ook naar de magic bytes van een (al dan niet hernoemd) WMF-bestand.

Dryw.Filtiarn schreef op dinsdag 03 januari 2006 @ 06:59:
[...]

Het is inmiddels al aangetoond dat WMF files hernoemd kunnen worden naar andere bestandsformaten zoals GIF en JPG zonder dat dit de werking van de exploit veranderd. Dat wil zeggen dat ze in betreffende library "normaal" verwerkt zullen worden door de WMF routines.

If I block .wmf files by extension, can this protect me against attempts to exploit this vulnerability?
No. Because the Graphics Rendering Engine determines file type by means other than just looking at the file extensions, it is possible for WMF files with changed extensions to still be rendered in a way that could exploit the vulnerability.

[ Voor 28% gewijzigd door Jazzy op 03-01-2006 07:45 ]

Recommended Block List
Published: 2006-01-01,
Last Updated: 2006-01-01 20:42:52 UTC by Johannes Ullrich (Version: 1)

I hate block lists... maybe because I have been on the 'wrong end' of them in the past. But after careful consideration, we do recommend blocking traffic from these two netblocks:

InterCage Inc.: 69.50.160.0/19 (69.50.160.0 - 69.50.191.255)
Inhoster: 85.255.112.0/20 (85.255.112.0 - 85.255.127.255)


The list may be updated later. We do not expect to make this a "regular feature". But at this time we find that it is necessary to point out these particular two netblocks.


They have been associated with a number of high profile criminal activities in the past. A good number of WMF exploits use name servers or other resources in these netblocks. They have been non responsive to current and past requests to remove malicious content.

[ Voor 78% gewijzigd door Arnout op 03-01-2006 09:20 ]

Arnout schreef op dinsdag 03 januari 2006 @ 09:00:
Wie heeft er al een IPTABLES scriptje om dit te blocken?

Jazzy schreef op dinsdag 03 januari 2006 @ 09:22:
[...]
Huh? Je blokkeert deze adressen gewoon net zoals ieder ander adres of netblock.

1
2
3
4
5
6

iptables -N wmfblock
iptables -A wmfblock -j LOG --log-prefix "WMF Block:" -m limit 
--limit 1/m
iptables -A wmfblock -j DROP

iptables -A INPUT -s 69.50.160.0/19 -s 85.255.112.0/20 -j wmfblock

[ Voor 3% gewijzigd door Arnout op 03-01-2006 09:28 ]

Arnout schreef op dinsdag 03 januari 2006 @ 09:26:
[...]
Zoiets

Jazzy schreef op dinsdag 03 januari 2006 @ 09:37:
[...]
Weet ik niet, ik gebruik een firewall met een hele prettige grafische interface en bovendien een uitstekende Help-functie. Wat ik meer bedoel eigenlijk, wat heeft dit met het topic te maken?

Jazzy schreef op maandag 02 januari 2006 @ 22:56:
Maar nogmaals, zitten we hier met allemaal thuisgebruikers? Geen systeembeheerders die zich nu afvragen wat wijsheid is?

[ Voor 4% gewijzigd door Thexder op 03-01-2006 11:11 ]

Jazzy schreef op dinsdag 03 januari 2006 @ 11:14:
[...]
Ik heb maar alvast voor je getest.

Vannacht heb ik eerst thuis getest en gekeken hoe de patch zich gedraagt, qua reboot en scripting. Dat is best heel simpel en net niet ideaal.

Je roept hem aan in het/een inlogscript:

code:

1	\\server\share\wmffix_hexblog13.exe /VERYSILENT /SUPPRESSMSGBOXES

Bij het opstarten van de werkplekken (Processing startup scripts oid.) draait hij de patch en reboot onmiddelijk. Nu start de pc weer op en bij de volgende poging verschijnt een errorbox met een tekst in de trant van:
[...]
De gebruiker kan alleen op OK klikken en krijgt vervoglens het normale inlogscherm. Dit gedrag vertoont het systeem dus ieder keer als de werkplek opstart, zolang die opdracht in het inlogscript staat.

Verder weinig te melden. Hij staat nu op een stuk of 80 Windows 2000 en 20 Windows XP werkplekken, daarnaast op een stuk of 10 Windows 2000 en 2003 servers. Alles probleemloos verlopen, voorzover ik dat kan beoordelen na een halve dag.

Jazzy schreef op dinsdag 03 januari 2006 @ 11:17:
[...]
Zoals je zelf al zegt, je hebt de patch geïnstalleerd.
[...]

Jazzy schreef op dinsdag 03 januari 2006 @ 11:17:
[...]
Als je een beetje gelezen hebt, zoals je van een Tweaker wel mag verwachten, dan had je nu wel door gehad dat dit om het zelfde probleem gaat.

Microsoft has completed development of the security update for the vulnerability. The security update is now being localized and tested to ensure quality and application compatibility. Microsoft’s goal is to release the update on Tuesday, January 10, 2006, as part of its monthly release of security bulletins. This release is predicated on successful completion of quality testing.

Zwerver schreef op dinsdag 03 januari 2006 @ 11:41:
[...]


Tipje, wij hebben hem in de logoff scripts gezet met een check eromheen om te checken of die al geinstalleerd is

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

@echo off
rem Batch for to illustrate how to use wmf_checker in the silent mode
wmf_checker_hexblog /SILENT
if errorlevel 2 goto bad_error
if errorlevel 1 goto vulnerable
echo You system seems to be invulnerable
goto end

:vulnerable
echo You system is VULNERABLE! Please install the fix from http://www.hexblog.com
goto end

:bad_error
echo Something bad happened to the checker
goto end

:end

Thexder schreef op dinsdag 03 januari 2006 @ 11:59:
[...]
Maar wat verschilt dan het installeren van een patch met bijv. software? Wanneer ik software geïnstalleerd heb op mijn computer (in 99% van de gevallen in de "C:\Program Files" map), dan moet ik de software daarna uitvoeren/draaien/runnen om het te kunnen gebruiken. Dus het 'alleen maar' installeren van zo'n patch, heeft imo helemaal geen nut, de patch moet ook nog 'uitgevoerd' worden. Of niet?

Okee, op zich mee eens, maar het was/is mij niet geheel duidelijk of ik, indien het 'alleen maar' installeren van die patch toch voldoende blijkt te zijn, die WPFV (Windows Picture and Fax Viewer) weer via het register mag inschakelen, die ik eerder had uitgeschakeld op aanwijzingen van deze waarschuwing. Ik lees daarover tegenstrijdige reacties. Dus kan ik de WPFV Viewer nu wel of niet weer inschakelen indien ik toch goed gepatcht blijkt te hebben?