Nieuw lek in XPSP2 via WMF files

Verwijderd schreef op dinsdag 03 januari 2006 @ 15:53:
[...]

Dan is dat een andere vulnerability binnen die Windows-versie, en dat heeft dan helemaal niets met de huidige WMF-exploit te maken (voor NT, 2K enz.)

Er is niet zoiets als

de huidige WMF-exploit

Er zijn momenteel een aantal exploits voor 1 en dezelfde vulnerability, die inderdaad in al die versies van Windows zit. Een enkele exploit wordt ontdekt door Symantec Antivirus, anderen weer niet.

Edit: je kunt wel iedere keer met een smiley verwijzen naar een eerder antwoord maaar je zit er echt naast.

[ Voor 10% gewijzigd door Jazzy op 03-01-2006 15:59 ]

Ik snap echt het probleem niet, de huidige WMF-exploit komt onder licht verschillende vormen voor, en is niet schadelijk voor oudere Windows-versies die niet op NT gebaseerd zijn.
Wil je dan absoluut een nieuwe exploit in Windows 9x ontdekken die hetzelfde kan? Geen probleem hoor, maar dat zal niet dezelfde exploit zijn als degene voor Windows NT geschreven.

Wij hebben het over kwetsbaarheden. Voor 2003/XP is er de exploit, voor <98 nog niet. Dan is die wel kwetsbaar en ben je dus ook niet veilig.

edit: je wilt het gewoon niet begrijpen volgens mij wat ik bedoel Never mind..

[ Voor 25% gewijzigd door Glashelder op 03-01-2006 16:16 ]

Elk OS bevat exploitable kwetsbaarheden, of ze nu al ontdekt, gedicht of misbruikt werden of niet.
Natuurlijk ben je dan ook niet veilig met die oudere windows-versies
Ik vind dit trouwens behoorlijk off-topic gaan.
edit: ik heb reeds gereageerd dus ga ik mijn reply niet wijzigen

edit2: had dit artikel het dan ook fout misschien? Blijkbaar ben ik niet de enige die er zo over denkt.

[ Voor 51% gewijzigd door Verwijderd op 03-01-2006 16:25 ]

Rare vraag misschien, maar.. helpt die hotfix ook als je al zo'n virus hebt opgelopen (denkt het niet, maarja)

[ Voor 16% gewijzigd door Bhai op 03-01-2006 16:54 ]

Maar ik weet dus niet of ik wel besmet ben. Is er een manier om daar achter te komen?

Verwijderd schreef op dinsdag 03 januari 2006 @ 16:08:
edit2: had dit artikel het dan ook fout misschien? Blijkbaar ben ik niet de enige die er zo over denkt.

Het gaat er bij mij niet in dat iDEFENSE het beter weet dan Microsoft zelf.

Bhai schreef op dinsdag 03 januari 2006 @ 17:19:
Maar ik weet dus niet of ik wel besmet ben. Is er een manier om daar achter te komen?

Is sterk afhankelijk van het virus dat je hebt, het beste is dan om je virusscanner te laten draaien of een gratis online scan te doen.

Ik heb Kaspersky gedraaid en hij heeft niks gevonden.
Maar ik heb paar berichten terug gelezen dat iem. een waarschuwing kreeg van z'n virusscanner dat er een virus gevonden was en dat het in de temporary files stond. Dit is dus ook gisteren bij mij gebeurd met Kaspersky, terwijl het nooit eerder is gebeurd. Vandaar dat ik een beetje bang ben

_{PS: Ben dom geweest om de backup van Kaspersky te legen, en kan dus nu niet meer zien welke virus het was}

Heeft iemand een mirror staan van wmffix_hexblog13.exe toevallig?
Hexblog ligt er schijnbaar uit..

endless schreef op dinsdag 03 januari 2006 @ 19:53:
Heeft iemand een mirror staan van wmffix_hexblog13.exe toevallig?
Hexblog ligt er schijnbaar uit..

In het artikel op de frontpage staat een mirror: http://home.planet.nl/~fisch040/wmffix_hexblog13.exe

Mocht die straks down zijn, heb ik hem ook maar even gemirrored: http://www.xs4all.nl/~jurgenjw/zooi/wmffix_hexblog13.exe

[ Voor 17% gewijzigd door wildhagen op 03-01-2006 19:57 ]

Verwijderd schreef op dinsdag 03 januari 2006 @ 17:40:
[...]

Is sterk afhankelijk van het virus dat je hebt, het beste is dan om je virusscanner te laten draaien of een gratis online scan te doen.

Zullen we even een duidelijk verschil aanbrengen?

De bug/feature/whatever
Door een feature in de afhandeling van WMF-images (noodzakelijk in Windows 3.0/3.11) is er een gat ontstaan waardoor er code uitgevoerd kan worden als een WMF-file bekeken, geindexeerd of op een andere manier benaderd wordt.
Deze bug kan je oplossen op twee manieren:

De MS manier
Unregister shimgvw.dll (regsvr32 -u %windir%\system32\shimgvw.dll) waardoor de Fax/Image-viewer niet meer uitgevoerd wordt. Daarnaast moeten de instellingen van IE op high gezet worden, samen met nog wat andere aanpassingen.

De Ilfak manier
Installeer een niet van MS afkomstige patch (http://handlers.sans.org/tliston/wmffix_hexblog14.exe) waardoor de Escape() functie wordt gepatched.

O.a. http://isc.sans.org geven aan dat de beste manier is om beide te doen

Exploits/virussen e.d
Door deze bug is het mogelijk om exploits, virussen e.d. op je systeem te krijgen. Het grootste deel wordt nog niet door de virusscanners opgepakt, waardoor het risico tot op heden erg groot is. Hier is dus in praktische zin weinig aan te doen, ondanks dat anti-virusfabrikanten erg hard hun best doen om de definities up2date te houden. Ook zogenaamde bloodhount scanners (zoals McAfee, Symantec en KAV ze gebruiken) vinden niet alle virussen op dit moment.

Wat betekend dit concreet
Concreet betekend het dat je op dit moment weinig kan doen om jezelf te beschermen, behalve er voor zorgen dat er geen WMF-bestanden geopend kunnen worden. Het nadeel hiervan is dat ook WMF-bestanden die als jpg, gif, png e.d. geopend worden in IE op je harde schijf terecht komen. Een indexer als bijv. google-desktop kan zo'n bestand dan alsnog executeren en de onderliggende code aanroepen.

Voor meer informatie raad ik aan om http://isc.sans.org , http://www.securityfocus.com e.a. sites over security goed in de gaten te houden.

Allemaal goed en wel, maar wat zou jij hem nu aanraden nu zijn pc gehackt geïnfecteerd binnengedrongen met de een WMF-exploit werd en voor hem patches dus al te laat zijn?

In de uitzending van Tros Radio Online geeft Schouw een toelichting op de MSN versie van de WMF exploit. Tevens geeft hij aan dat Kaspersky de auteur mogelijk heeft geïdentificeerd. De uitzending is binnenkort op de genoemde site te downloaden.

Verwijderd schreef op dinsdag 03 januari 2006 @ 20:14:
Allemaal goed en wel, maar wat zou jij hem nu aanraden nu zijn pc gehackt geïnfecteerd binnengedrongen met de een WMF-exploit werd en voor hem patches dus al te laat zijn?

Dan moet je eerst weten welke exploit het is en wat die doet. Pas dan weet je hoe je hem onschadelijk kunt maken.

Gewoon hetzelfde als met ieder virus, maakt niet uit van welke exploits gebruik wordt gemaakt om binnen te komen.

Verwijderd schreef op dinsdag 03 januari 2006 @ 20:14:
Allemaal goed en wel, maar wat zou jij hem nu aanraden nu zijn pc gehackt geïnfecteerd binnengedrongen met de een WMF-exploit werd en voor hem patches dus al te laat zijn?

Een herinstallatie. En dan wel die patch eroverheen halen. Misschien dat morgen zijn virusscanner dat ding vindt, misschien niet, maar veilig is die machine nu niet meer (helemaal als KAV al iets gevonden had....)

Overigens geldt dit alleen als hij zeker weet dat hij een exploit heeft, maar niet weet welke EN dat hij weet dat het met WMF temaken heeft

[ Voor 13% gewijzigd door Zwerver op 03-01-2006 20:27 ]

An official fix for the worrisome Windows Meta File vulnerability is in the works, Microsoft said on Tuesday in an updated security advisory.

The flaw in Windows Meta File (WMF) concerned many security experts over the holidays because the vulnerability can be exploited by displaying images in Internet Explorer from a malicious Web site. The Mozilla Corporation's Firefox browser does not immediately run code but reportedly asks permission to display the malicious images.

The flaw, which affects all versions of Windows but the recent versions of the operating system most seriously, will have an official patch in a week, said Microsoft in the advisory. The software giant has verified its update works, but needs to more fully test the software. The company does not believe that attacks using the exploit are all that widespread.

"Microsoft has been carefully monitoring the attempted exploitation of the WMF vulnerability since it became public last week, through its own forensic capabilities and through partnerships within the industry and law enforcement," the software giant said in the updated advisory. "Although the issue is serious and malicious attacks are being attempted, Microsoft’s intelligence sources indicate that the scope of the attacks are not widespread."

Security experts have recommended that users download an unofficial patch created by a security software developer.

Ik zet voor de zekerheid automatisch updates downloaden en installeren maar ff uit. Het kan toch zijn dat het raar kan doen ivm die patch?

PS: v14 van de patch kun je hier download:
http://rapidshare.de/file...wmffix_hexblog14.exe.html

Opvallend is - imho - dat hoewel Windows 2000 officieel geen groot risico loopt, dat Office 2003 de WMF extensie registreert met hun image viewer waardoor die PC's op dat moment ook vulnerable is

Bhai schreef op dinsdag 03 januari 2006 @ 20:30:
[...]
Ik zet voor de zekerheid automatisch updates downloaden en installeren maar ff uit. Het kan toch zijn dat het raar kan doen ivm die patch?

Zolang je maar de automatische updates maar weer aan hebt gezet voordat er nog eens patches uitkomen, wellicht 10 januari dus.

elevator schreef op dinsdag 03 januari 2006 @ 21:48:
Opvallend is - imho - dat hoewel Windows 2000 officieel geen groot risico loopt, dat Office 2003 de WMF extensie registreert met hun image viewer waardoor die PC's op dat moment ook vulnerable is

Van IrfanView en XnView was ik al zeker, je bedoelt dan waarschijnlijk de Microsoft Office 2003 Picture Manager?

Verwijderd schreef op dinsdag 03 januari 2006 @ 21:54:
[...]

Zolang je maar de automatische updates maar weer aan hebt gezet voordat er nog eens patches uitkomen, wellicht 10 januari dus.

Ik denk dat hij bedoelt dat hij de updates uit zet tot hij zeker weet dat de officiële MS-patch bij de updates zit, dat hij dan de on-officiële patch verwijderd en de updates weer aanzet, om te voorkomen dat ze elkaar gaan bijten.

Microsoft kan met de ontwikkeling van de fix niet anders dan in overweging nemen dat er 2 scenario's zijn: computers met en computers zonder de patch van Guilfanov. Ga er maar vanuit dat dit geen probleem zal zijn.

Hoewel ik het een nogal lomp lek vind en het totaal niet in het trustworthy initiatief van MS vind passen snap ik de big deal niet.

Op welke manier is het WMF lek anders dan een nieuw en onbekend virus of onherkenbare variant? Ik snap dat het probleem is dat je met het bekijken van een webpagina geinfecteerd kan raken. Maar voor zover ik heb gelezen is het enige wat de exploit code doet bekende backdoors etc. ophalen. En deze worden natuurlijk door je virusscanner herkend en verwijderd. Vrijwel alle virusscanners hebben mechanieken om te voorkomen dat ze gekilled worden. (Dynamische procesnaam o.a.) Dus op die manier kunnen er ook geen onderdelen opgehaald worden. Als laatste zijn er al een aantal fabrikanten die nu vrijwel alle image extensies scannen en de exploit code herkennen.

Als je je systemen gewoon up to date houdt en een goede recente virusscanner installeerd zou je volgens mij "veilig" moeten zijn. Of zie ik dit verkeerd?

Ik zal de MS patch wanneer deze uitkomt meteen gaan uitrollen via de geeigende methodes maar ik zie nog geen reden om de 3rd party patch uit te rollen.

Niet alleen WMF bestanden blokkeren/scannen/etc, de code kan ook opgenomen worden in files met andere bestandsextensies!

[ Voor 8% gewijzigd door Verwijderd op 04-01-2006 10:55 ]

Verwijderd schreef op woensdag 04 januari 2006 @ 09:46:


Als je je systemen gewoon up to date houdt en een goede recente virusscanner installeerd zou je volgens mij "veilig" moeten zijn. Of zie ik dit verkeerd?

Dat zie je verkeerd. Zoals je kan lezen op verschillende sites is het voor virusscannerfabrikanten een hele klus om uberhaupt bij te houden welke nieuwe virussen en trojans er nu zijn bijgekomen die gebruik maken van de WMF-bug om zich te verspreiden.
Als je uitgaat van een gemiddelde tijd van een halve dag om een sample om te zetten naar een definitie en deze op een pc te krijgen merk je direct waar alle herrie over gaat.

@zwerver: Niet alleen WMF bestanden blokkeren, de code kan nu ook opgenomen worden in files met andere bestandsextensies!

Waar zie je mij zeggen dat ik alleen WMF-bestanden block? Sterker nog, wij blocken niks op proxy-niveau omdat dit (imho) weinig zin heeft.

Zwerver schreef op woensdag 04 januari 2006 @ 10:36:
[...]

Dat zie je verkeerd. Zoals je kan lezen op verschillende sites is het voor virusscannerfabrikanten een hele klus om uberhaupt bij te houden welke nieuwe virussen en trojans er nu zijn bijgekomen die gebruik maken van de WMF-bug om zich te verspreiden.
Als je uitgaat van een gemiddelde tijd van een halve dag om een sample om te zetten naar een definitie en deze op een pc te krijgen merk je direct waar alle herrie over gaat.

Waar zie je mij zeggen dat ik alleen WMF-bestanden block? Sterker nog, wij blocken niks op proxy-niveau omdat dit (imho) weinig zin heeft.

Maar hoe is dit dan anders dan de varianten die van "normale" executables uitkomen? Er zijn inmiddels -tig duizend varianten van b.v. netsky en er komen nog steeds nieuwe bij.

Wat betreft WMF blokken, kan het nu niet meer vinden maar dacht dat het jouw post was. Sorry.

Verwijderd schreef op woensdag 04 januari 2006 @ 10:55:
[...]


Maar hoe is dit dan anders dan de varianten die van "normale" executables uitkomen? Er zijn inmiddels -tig duizend varianten van b.v. netsky en er komen nog steeds nieuwe bij.

Wat betreft WMF blokken, kan het nu niet meer vinden maar dacht dat het jouw post was. Sorry.

WMF is 1 van de weinige soorten bestanden die niet op extensie worden aangeroepen, maar op de inhoud (net als bij mac zeg maar). dus welke extensie ook gebruikt wordt, in principe kan het nog steeds kwaad.

Overigens is er een leaked fix van microsoft in omloop. Deze schijnt echt te zijn en de problemen ook idd op te lossen.

paella schreef op woensdag 04 januari 2006 @ 11:00:
[...]
WMF is 1 van de weinige soorten bestanden die niet op extensie worden aangeroepen, maar op de inhoud (net als bij mac zeg maar). dus welke extensie ook gebruikt wordt, in principe kan het nog steeds kwaad.

Dat is ook niet "the point".

Veel virusscanners scannen allang niet meer uitsluitend executables. Als voorbeeld neem ik Trend. Die hebben 3 modi waarin je kan scannen: Alle extensies, door de gebruiker opgegeven extensies en "Smart-scan" (Default). Smart-scan scant alle extensies die in de DAT files beschreven staan. De WMF exploit staat al enige tijd in de dat files en derhalve scant Trend de bestanden waar dit in voor kan komen.

Mocht de WMF exploit door de virusscanner genegeerd worden dan wordt de exploit actief. Tenzij er heel heftige veranderingen worden aangebracht is het eerste wat de exploit doet een bekende backdoor downloaden en trachten te starten. Dat lukt 'm gewoon niet, de virusscanner zal de backdoor herkennen en deleten/cleanen.

Voorbeeld van 1 van de varianten: (This wmf will download and execute a .vbs file which is detected as trojan-Downloader.VBS.Psyme.br which in turn will download an Sdbot. The IRCBot is detected as Backdoor.Win32.SdBot.gen)

Ja, door de bekende varianten aan te passen kan je de virusscanner omzeilen maar dit is niet anders dan met de huidige virussen.

Ik ga maar eens een gedurft standpunt innemen: hoewel het probleem nogal slordig is denk ik dat het een storm in een glas water is.

Dag 7 of 8 dat de exploit in het wild rondzwerft en kijk eens naar de poll op http://isc.sans.org/poll.php

Have you been impacted by the WMF vulnerability?
11 % =>Yes. A system in my company/household got infected
10 % =>Antivirus or other defenses blocked the exploit
78 % =>No. I have not seen an exploit yet.

Waarom dan gerenommeerde security experts adviseren om de patch te installeren en het gevoel geven dat dit de nieuwe red alert is snap ik echt niet. Secunia omschrijft het als extremely critical. Een omschrijving die ze normaliter uitsluitend geven aan remotely exploitable vulnerabilities, wat dit absoluut niet is.

[ Voor 37% gewijzigd door Verwijderd op 04-01-2006 12:19 ]

Sorry maar hier snap ik helemaal niks van. (het zal wel aan mij liggen.)
Wil iemand even rustig uitleggen wat ik moet doen met IE. Ik ben nu al met Kasperski een scan aan het runnen.

Edit: Kaspersky vraagt wachtwoord om ad-aware te openen via hitmanpro gedownload, wat is het wachtwoord??

[ Voor 23% gewijzigd door Verwijderd op 04-01-2006 12:08 ]

Overigens is er een leaked fix van microsoft in omloop. Deze schijnt echt te zijn en de problemen ook idd op te lossen.

Daar zou ik me maar verre van houden als ik jou was. Om één of andere reden kan ik me niet echt voorstellen dat er van de patchafdeling van Microsoft een versie 'lekt'.

Inmiddels is de definitieve, officiële patch van Microsoft voor deze kwetsbaarheid uitgelekt.
Het gaat enkel om de patch voor Engelstalige versies van Windows XP en Windows Server 2003.
Aangezien deze patch officieel alleen aan bedrijven met SA-licenties werd gegeven en MS nog niet klaar is met vertalingen, wacht men liever nog tot volgende week voor de patch verspreid wordt.
De patch was echter gisteravond nog op het Internet verkrijgbaar, onder de naam "WindowsXP-KB912919-x86-ENU.exe" (711 KB). Intussen is de patch bij de "oorsprong" (rapidshare) verwijderd.

[ Voor 4% gewijzigd door Verwijderd op 04-01-2006 15:19 ]

Verwijderd schreef op woensdag 04 januari 2006 @ 11:31:
[...]


Dat is ook niet "the point".

Veel virusscanners scannen allang niet meer uitsluitend executables. Als voorbeeld neem ik Trend. Die hebben 3 modi waarin je kan scannen: Alle extensies, door de gebruiker opgegeven extensies en "Smart-scan" (Default). Smart-scan scant alle extensies die in de DAT files beschreven staan. De WMF exploit staat al enige tijd in de dat files en derhalve scant Trend de bestanden waar dit in voor kan komen.

Door de ernst van de bug is het mogelijk om alles te executeren wat een exploit-schrijver wil. Zonder dat je een file download, gewoon door een plaatje te bekijken (even heel simpel geformuleerd). En het is geen exploit, het zit gewoon in Windows. Gaat jouw virusscanner nu elk WMF-plaatje blokken dan?

Mocht de WMF exploit door de virusscanner genegeerd worden dan wordt de exploit actief. Tenzij er heel heftige veranderingen worden aangebracht is het eerste wat de exploit doet een bekende backdoor downloaden en trachten te starten. Dat lukt 'm gewoon niet, de virusscanner zal de backdoor herkennen en deleten/cleanen.

Gister heb ik een virus naar KAV gestuurd dat nog niet in de DAT's stond, binnengehaald (op mijn Mac gelukkig) vanaf een valide website, zonder ergens op te klikken. Dat is het hele punt, je hoeft dus zelf niks te doen om zo'n virus binnen te halen en je virusscanner kan het niet altijd herkennen.

Ja, door de bekende varianten aan te passen kan je de virusscanner omzeilen maar dit is niet anders dan met de huidige virussen.

Die moet je zelf downloaden/aanklikken, dat hoeft dus niet met de WMF-bug.

Ik ga maar eens een gedurft standpunt innemen: hoewel het probleem nogal slordig is denk ik dat het een storm in een glas water is.
Waarom dan gerenommeerde security experts adviseren om de patch te installeren en het gevoel geven dat dit de nieuwe red alert is snap ik echt niet. Secunia omschrijft het als extremely critical. Een omschrijving die ze normaliter uitsluitend geven aan remotely exploitable vulnerabilities, wat dit absoluut niet is.

Dat is het wel! Ik kan vanaf een website een virus op je PC zetten, en al helemaal als dat virus onbekend is.

Verwijderd schreef op vrijdag 30 december 2005 @ 19:41:

[...]
Als je de viewer niet wil deïnstalleren is volgende oplossing het beste om IE af te schermen:
- Rechtsklik op Startknop en klik op Verkennen (Explore).
- Ga naar menu Extra (Tools) en klik op Mapopties (Folder Options).
- Ga naar tab Bestandstypen (File Types) en scroll onder Geregistreerde bestandstypen (Registered file types) naar het bestandstype met extensie WMF (WMF-afbeelding of WMF-file).
- Zet een vinkje voor Openen na downloaden bevestigen (Confirm open after download).
Hierdoor zal IE tenminste vooraf vragen of je het bestand wil openen of opslaan, in plaats van het meteen te openen.


Zoals in dit topic staat kan je ook de Windows-viewer voor afbeeldingen en faxen uit schakelen (alleen XP en 2003), zodat ook Windows Explorer niet meer kwetsbaar is (want zelfs als de Explorer niet in Thumbnail weergave staat, kan zo'n WMF-bestand geactiveerd worden door de Preview-functie tijdens het selecteren).
Als laatste stap kun je ook andere image viewers (zoals IrfanView en XnView) indien geïnstalleerd tijdelijk uninstallen, want die maken oudere Windows-versies (NT4 en 2000) ook kwetsbaar.

Is het slim om het vetgedrukte te doen en daarnaast ook nog het advies van MS op te volgen?

Alleen wmf files uitzetten heeft geen zin, ik kan een wmf bestand met een virus maken, die hernoemen naar schattig_bestand.doc en vervolgens wordt ie gewoon als plaatje afgebeeld. Ook het uitschakelen van de windows viewer is NIET genoeg (De bug zit in gdi32.dll, NIET in de viewer). Het enige wat helpt is de patch van http://www.hexblog.com/ installeren.

Nvidiot schreef op woensdag 04 januari 2006 @ 16:13:
Het enige wat helpt is de patch van http://www.hexblog.com/ installeren.

Of even heel goed googlen naar MS patch

Microsoft geeft toe de patch al wel te hebben gemaakt. Hij wordt momenteel getest. De patch moet in 23 talen beschikbaar zijn; aan deze vertalingen wordt nog gewerkt.

Komt van http://www.zdnet.nl/news.cfm?id=52416

[ Voor 45% gewijzigd door Verwijderd op 04-01-2006 16:18 ]

Verwijderd schreef op woensdag 04 januari 2006 @ 16:16:
[...]

Of even heel goed googlen naar MS patch


[...]

Komt van http://www.zdnet.nl/news.cfm?id=52416

Wat is het nut in deze dan van een vertaling .

Zwerver schreef op woensdag 04 januari 2006 @ 16:03:
Dat is het wel! Ik kan vanaf een website een virus op je PC zetten, en al helemaal als dat virus onbekend is.

Het is niet anders dan met een vergelijkbaar javascript, vbscript, whatever. Alleen als ik een mail lees of een site bezoek die geinfecteerd is met het virus kan ik geinfecteerd raken. Het is niet dat dit een remotely exploitable lek is.

De reden dat ik me weinig zorgen maak is dat er maar een beperkte hoeveelheid code in de WMF staat welke net als elk ander lame virus een aantal bekende backdoors ophaalt. Zoals ik al aangaf worden deze backdoors gewoon afgevangen door je virusscanner.

Ik kan het natuurlijk fouthebben, maar ik denk dat het allemaal heel erg mee gaat vallen.

Webwereld:
Niet iedereen is echter zo bezorgd. Russ Cooper, redacteur bij de NTBugtraq-mailinglijst en onderzoeker bij Cybertrust, verwacht niet dat het zo'n vaart zal lopen. "Wat ons betreft wordt de dreiging flink overdreven. Het wmf-lek zal niet massaal worden misbruikt."

[ Voor 16% gewijzigd door Verwijderd op 04-01-2006 17:00 ]

Google desktop search geinstalleerd? Als je een fout wmf'je hebt en google desktop search indexeert 'm heb je 'm al te pakken... Of een reclame server die gehacked wordt (Dat is al eens gebeurd met spyware)

Verwijderd schreef op woensdag 04 januari 2006 @ 16:52:
De reden dat ik me weinig zorgen maak is dat er maar een beperkte hoeveelheid code in de WMF staat welke net als elk ander lame virus een aantal bekende backdoors ophaalt. Zoals ik al aangaf worden deze backdoors gewoon afgevangen door je virusscanner.

Als je geluk hebt download hij inderdada gewoon een bekende backdoor/trojan, als je pech hebt is het format c:\ [of welke schijf] en is het dagdag met al je data, of nog iets ernstigers..

Verwijderd schreef op woensdag 04 januari 2006 @ 16:16:
[...]

Of even heel goed googlen naar MS patch


[...]

Komt van http://www.zdnet.nl/news.cfm?id=52416

MS (en de virusscannerfabrikanten) waarschuwen hier voor. Immers is het heel simpel om de patch te misbruiken om spyware op je systeem te zetten, je weet immers nooit of het de echte patch is!

Verwijderd schreef op woensdag 04 januari 2006 @ 16:52:
[...]

Het is niet anders dan met een vergelijkbaar javascript, vbscript, whatever. Alleen als ik een mail lees of een site bezoek die geinfecteerd is met het virus kan ik geinfecteerd raken. Het is niet dat dit een remotely exploitable lek is.

De reden dat ik me weinig zorgen maak is dat er maar een beperkte hoeveelheid code in de WMF staat welke net als elk ander lame virus een aantal bekende backdoors ophaalt. Zoals ik al aangaf worden deze backdoors gewoon afgevangen door je virusscanner.

Ik kan het natuurlijk fouthebben, maar ik denk dat het allemaal heel erg mee gaat vallen.

Webwereld:
Niet iedereen is echter zo bezorgd. Russ Cooper, redacteur bij de NTBugtraq-mailinglijst en onderzoeker bij Cybertrust, verwacht niet dat het zo'n vaart zal lopen. "Wat ons betreft wordt de dreiging flink overdreven. Het wmf-lek zal niet massaal worden misbruikt."

Weet je? Ik word langzaam aan een beetje moe van dit soort reacties. Er zijn op dit moment in een paar dagen tijd meer dan 100 verschillende virussen bekend bij de AV's die via de WMF-bug proberen binnen te komen, en volgens dezelfde AV-fabrikanten is het waarschijnlijk maar de top van de ijsberg. Als mensen zoals die knakker van Cybertrust denken dat het wel meevalt dan gedragen ze zich net als MS.

Zwerver schreef op woensdag 04 januari 2006 @ 17:09:
[...]


MS (en de virusscannerfabrikanten) waarschuwen hier voor. Immers is het heel simpel om de patch te misbruiken om spyware op je systeem te zetten, je weet immers nooit of het de echte patch is!

Wees gerust, de patch is authentiek en doet prima zijn werk.
Ook al omdat hij door MS gesigneerd werd lijkt de patch af te zijn.

[ Voor 9% gewijzigd door Verwijderd op 04-01-2006 17:29 . Reden: toevoeging ]

Verwijderd schreef op woensdag 04 januari 2006 @ 17:22:
[...]

Wees gerust, de patch is authentiek en doet prima zijn werk.

Die van jouw misschien, maar die van pietje puk die hem van een andere site haalt dan?

Kan je niet hier de link ernaar plaatsen dan? Of is het nu nog warez?

Laatste post, daarna maak ik er geen woorden meer aan vuil.

Kan iemand zich nog MS04-028: Buffer Overrun in JPEG herinneren? Net zo link en het was echt niet het einde van de wereld.

Weet je wat het verschil was? Er was een patch voor toen hij bekend gemaakt werd.

Het posten van die link zou ik maar niet doen; het is niet legaal.

Zwerver schreef op woensdag 04 januari 2006 @ 17:45:
Weet je wat het verschil was? Er was een patch voor toen hij bekend gemaakt werd.

Het posten van die link zou ik maar niet doen; het is niet legaal.

Je hebt het bij het rechte eind
Bovendien weigert hij te installeren op niet-Engelstalige Windows-versies, en heb ik hem enkel in een testomgeving geprobeerd.

Verwijderd schreef op woensdag 04 januari 2006 @ 17:22:
[...]

Wees gerust, de patch is authentiek en doet prima zijn werk.
Ook al omdat hij door MS gesigneerd werd lijkt de patch af te zijn.

Het zou, naar mijn bescheiden mening, verantwoord zijn om alleen patches te downloaden die van een betrouwbaar adres komen.

Je kunt nog zo hard roepen dat de patch authentiek is, maar zolang Microsoft hem niet naar buiten heeft gebracht zie ik niet in waarom je hem zou repareren. Ik kan me daarentegen wel een heleboel redenen bedenken waarom je hem niet zou installeren.

Jazzy schreef op woensdag 04 januari 2006 @ 18:19:
[...]
Het zou, naar mijn bescheiden mening, verantwoord zijn om alleen patches te downloaden die van een betrouwbaar adres komen.

Je kunt nog zo hard roepen dat de patch authentiek is, maar zolang Microsoft hem niet naar buiten heeft gebracht zie ik niet in waarom je hem zou repareren. Ik kan me daarentegen wel een heleboel redenen bedenken waarom je hem niet zou installeren.

Zijn het KB-nummer, bestandsgrootte en digitale handtekening dan niet genoeg bewijzen?

Microsofts patch voor wmf-bug uitgelekt
Ik had et kunnen weten

theovds schreef op woensdag 04 januari 2006 @ 18:52:
Microsofts patch voor wmf-bug uitgelekt
Ik had et kunnen weten

Tuurlijk wist je dat, het staat vlak boven je
Edit: nu blijkt volgens het FAQ-gedeeldte in de Advisory dat de patch inderdaad verkeerdelijk op het Internet (security site) gelekt werd en dat dus niet de bedoeling was.

[ Voor 32% gewijzigd door Verwijderd op 04-01-2006 19:11 ]

Ik kan in Windows Explorer geen thumbnails meer bekijken (van bijv. jpg's). Ook bepaalde plaatjes in Firefox (en IE) kan ik niet zien:



De thumbnails zie ik wél in ACDSee

Ik heb het gevoeld dat dit iets met die wmffix te maken heeft (draai gwn XPSP2).

Ben ik de enige met dit probleem

Iemand enig idee over de kwetsbaarheid van Opera browser?

EricJH schreef op woensdag 04 januari 2006 @ 20:00:
Iemand enig idee over de kwetsbaarheid van Opera browser?

Verwijderd schreef op woensdag 28 december 2005 @ 21:14:

Niet alleen IE is vatbaar, ook andere browsers/programma's die WMF files kunnen of willen openen (Bijv. met Firefox, als je kiest voor openen/uitvoeren van zo'n fout bestand of Google Desktop die netjes dat file gaat indexeren). Op dit moment is er nog geen patch beschikbaar.

StarLite schreef op woensdag 04 januari 2006 @ 20:19:
[...]


[...]

Er is toch wel een klein verschil tussen bijv. IE en FF. Met de standaardinstellingen van IE (medium denk ik) worden de besmette files zonder waarschuwing gedownload (toch?), terwijl bij FF met de standaardinstellingen eerst gevraagd wordt of je dit bestand wilt openen. Als dit zo is, dan vind ik het toch een behoorlijk verschil

Als jullie exact willen weten wat er aan de hand is heb ik hier een mooie PDF:

http://www.section66.com/handlers/WMF.pdf

lees ook even het laatste stukje van http://isc.sans.org/diary.php?storyid=1012:

In addition to this, please do make the difference between a vulnerability and the lack of an exploit.

* One working exploit proves a vulnerability.
* Many non-functional exploits prove nothing towards the lack of a vulnerability.

And the shit hit's the fan:

We have a little project for all of the forensic treasure hunters out there. As you all know, the .wmf issue came into public view about a week ago. Since then, we've found that there are infected .wmf files with dates going back several weeks, so this little beauty has been around for a while. What we are looking for are any confirmed intrusions earlier than the first of December 2005 that can be traced to this current vulnerability. By confirmed, we mean that not only is the date of an infected .wmf file on a compromised system earlier than December 1st, but you can also prove that it was installed prior to December 1st and had some type of malicious payload embedded in it. Tell us whatever you can share, and we'll summarize the details for others. There's no prize for the earliest detect, but we are pretty sure that many would be interested in knowing how long this vulnerability has been actively exploited.

[ Voor 52% gewijzigd door Zwerver op 04-01-2006 23:56 ]

StarLite schreef op woensdag 04 januari 2006 @ 20:19:
[...]
Niet alleen IE is vatbaar, ook andere browsers/programma's die WMF files kunnen of willen openen (Bijv. met Firefox, als je kiest voor openen/uitvoeren van zo'n fout bestand of Google Desktop die netjes dat file gaat indexeren). Op dit moment is er nog geen patch beschikbaar.
[...]

Thx. Deze was ik een beetje vergeten. Net ff gecheckt en Opera staat standaard ingesteld om het downloadvenster te tonen. Dan kan ik kiezen het niet te downen, opslaan of openen. Nu nog enkel even niet dom klikken dus....

Ook de bloggers van Sunbelt BLOG hebben de officiële MS patch te pakken gekregen, en ook zij vinden deze patch zeer doeltreffend.
Er staan geen links naar de patch bij, maar wel screenshots (die dus mijn eerdere post over het KB-nummer bevestigen).
Lees meer op http://sunbeltblog.blogsp...-at-microsoft-hotfix.html
Ook hier staat er meer info over de leak van de MS patch.

[ Voor 16% gewijzigd door Verwijderd op 05-01-2006 02:23 ]

Verwijderd schreef op donderdag 05 januari 2006 @ 02:19:
Ook de bloggers van Sunbelt BLOG hebben de officiële MS patch te pakken gekregen, en ook zij vinden deze patch zeer doeltreffend.
Er staan geen links naar de patch bij, maar wel screenshots (die dus mijn eerdere post over het KB-nummer bevestigen).
Lees meer op http://sunbeltblog.blogsp...-at-microsoft-hotfix.html
Ook hier staat er meer info over de leak van de MS patch.

Oke, en nu laat ik alles gelijk, en hang er een stukje eigen spyware naast, het enige wat dan anders wordt is de checksum; die wij officieel niet in handen hebben omdat MS die niet vrijgeeft....

Zwerver schreef op donderdag 05 januari 2006 @ 07:36:
Oke, en nu laat ik alles gelijk, en hang er een stukje eigen spyware naast, het enige wat dan anders wordt is de checksum; die wij officieel niet in handen hebben omdat MS die niet vrijgeeft....

In dit topic werd vermeld dat de gelekte patch al gesigned zou zijn. Als dat zo is, dan zou je het wel degelijk kunnen checken (al doet niemand dat). Daar hoeft MS dus niets meer voor vrij te geven dan.

De officiële microsoft patch is nu beschikbaar op http://www.microsoft.com/...ty/bulletin/ms06-001.mspx

Bhai schreef op woensdag 04 januari 2006 @ 19:27:
Ik kan in Windows Explorer geen thumbnails meer bekijken (van bijv. jpg's). Ook bepaalde plaatjes in Firefox (en IE) kan ik niet zien:

[afbeelding]

De thumbnails zie ik wél in ACDSee

Ik heb het gevoeld dat dit iets met die wmffix te maken heeft (draai gwn XPSP2).

Ben ik de enige met dit probleem

een klant belde me vandaag met exact hetzelfde probleem morgen is hij hier. zal dan wel eens even zien.

Brahiewahiewa schreef op donderdag 05 januari 2006 @ 21:55:
De officiële microsoft patch is nu beschikbaar op http://www.microsoft.com/...ty/bulletin/ms06-001.mspx

Hij is ook beschikbaar via windows update !!

Systeem blijft stabiel

Toch wel kritiek, en VOOR dinsdag

Hulde

Ik zal hem morgen eens installeren. Maar dan blijft die Picture-viewer wel juist werken dan met die patch ?

[ Voor 3% gewijzigd door AW_Bos op 05-01-2006 23:17 ]

als ik de onofficieele patch pas heb verwijderd nadat ik de officieele microsoft patch heb geinstalleerd, is dan nog steeds alles in orde? of zijn er dan soms weer bestanden unpatched ofzo.

Ik heb de patch van Ilfak Guilfanov ge-uninstalled, en de microsoft update daarna zijn gang laten gaan. De check-utility van hexblog geeft aan dat ik daarna nog steeds beschermd ben, dus dat lijkt ok.

Bart1983 schreef op donderdag 05 januari 2006 @ 22:30:
[...]


Hij is ook beschikbaar via windows update !!

De patch lijkt in alle opzichten (KB nummer, signature, grootte) onveranderd van de eerder uitgelekte

[ Voor 3% gewijzigd door Verwijderd op 06-01-2006 00:52 ]

thesystem schreef op donderdag 05 januari 2006 @ 23:27:
als ik de onofficieele patch pas heb verwijderd nadat ik de officieele microsoft patch heb geinstalleerd, is dan nog steeds alles in orde? of zijn er dan soms weer bestanden unpatched ofzo.

Ik begreep dat de onofficiele patch niet een bestand vervangt, en die officiele wel. Dus de 1e is een workaround ofzo en dus werkt de officiele prima naast de oude.

Microsoft zet 'gewoon' een nieuwe dll neer. De oficiële patch kan dus gewoon over een eerder (onofficieel) gepatched systeem.

Ik zet het even in de TopicWarning.

Is die reboot echt noodzakelijk voor het dichten van het lek.

Maakt niet uit natuurlijk maar kan nu de server niet herstarten(live omgeving)

zolang je niet reboot ben je vulnerable voor de fout. Dus even een reboot schedulen vanavond

Kan iemand mij vertellen hoe ik die DLL weer re-install, zodat mijn picture viewer en thumbnails weer werken? Het is net of die dll van mijn systeem is verdwenen

Start -> Run -> regsvr32 %windir%\\system32\\shimgvw.dll <OK>

Reboot niet nodig

Bhai schreef op vrijdag 06 januari 2006 @ 20:12:
[...]
De thumbnails die ik niet kon zien, kwam dus doordat ik regsvr32 -u %windir%\\system32\\shimgvw.dll had gedaan. Nu werkt het weer, tnx

Ja, met -u unregister je de DLL, zonder die parameter (dus zoals ik hem gaf) registreer je hem weer

Bhai schreef op vrijdag 06 januari 2006 @ 20:18:
Wat ik me nu afvraag: wat gaat er gebeuren met degene die al besmet zijn geraakt en die dat nog niet weten. Het lijkt me dat dit een best wel grote groep gebruikers is

Tsja... die zullen dus (helaas) besmet blijven. Waarschijnlijk zullen ze wel als zombies voor verdere hacks, DoS-attacks en/of versturen van spam gebruikt gaan worden...

AW_Bos schreef op donderdag 05 januari 2006 @ 23:17:
Ik zal hem morgen eens installeren. Maar dan blijft die Picture-viewer wel juist werken dan met die patch ?

Nee hoor, die werken nog zie ik zojuist...

Ik zat zojuist op een website en plotseling opende de picture viewer. Er kwam echter geen plaatje te staan, maar er stond no preview available. (Het plaatje heette pic[1] ) Kan het zijn dat ik nu geinfecteerd ben met dit virus? En is er ergens een programmatje waarmee ik kan zien of ik dat virus heb?

Verwijderd schreef op Saturday 07 January 2006 @ 21:50:
Ik zat zojuist op een website en plotseling opende de picture viewer. Er kwam echter geen plaatje te staan, maar er stond no preview available. (Het plaatje heette pic[1] ) Kan het zijn dat ik nu geinfecteerd ben met dit virus? En is er ergens een programmatje waarmee ik kan zien of ik dat virus heb?

Integendeel, "No preview available" is juist een teken dat de patch zijn werk goed doet

Verwijderd schreef op zaterdag 07 januari 2006 @ 22:04:
[...]

Integendeel, "No preview available" is juist een teken dat de patch zijn werk goed doet

Als je wel geinfecteerd wordt krijg je ook die melding

plakbandrol schreef op Saturday 07 January 2006 @ 22:30:
[...]

Als je wel geinfecteerd wordt krijg je ook die melding

Toch niet, hij blijft dan gewoon hangen op "Generating preview".

Verwijderd schreef op zaterdag 07 januari 2006 @ 22:40:
[...]

Toch niet, hij blijft dan gewoon hangen op "Generating preview".

das vreemd, ik heb mezelf even laten infecteren en toen kreeg ik toch echt die melding

plakbandrol schreef op zaterdag 07 januari 2006 @ 23:39:
[...]

das vreemd, ik heb mezelf even laten infecteren en toen kreeg ik toch echt die melding

Da's inderdaad vreemd

mmz, wie moet ik nu geloven? Ik kan nu maar beter niet meer internetbankieren op deze pc neem ik aan?

"No preview available" houdt in dat de exploit zijn werk niet heeft kunnen doen.
Of dat komt doordat de patch is geïnstalleerd of de exploit niet fatsoenlijk werkt, dat is een andere vraag.

/me ziet redelijk wat exploits voorbijkomen die bijv. niets doen op XP/SP2 maar wel op XP/SP1.

[ Voor 6% gewijzigd door Verwijderd op 08-01-2006 21:19 ]

Verwijderd schreef op zondag 08 januari 2006 @ 21:06:
"No preview available" houdt in dat de exploit zijn werk niet heeft kunnen doen.
Of dat komt doordat de patch is geïnstalleerd of de exploit niet fatsoenlijk werkt, dat is een andere vraag.

Nochtans krijg ik enkel de melding "No preview available" nadat ik de patch installeerde. Zal wel aan mijn computer liggen dan? XP SP2 btw.

[ Voor 5% gewijzigd door Verwijderd op 08-01-2006 21:28 ]

Verwijderd schreef op zondag 08 januari 2006 @ 21:26:
[...]

Nochtans krijg ik enkel de melding "No preview available" nadat ik de patch installeerde. Zal wel aan mijn computer liggen dan? XP SP2 btw.

Dat klopt toch met wat ik zeg? Ben anders eens wat specifieker.

Dat moet je dan aan qpers vragen (SP1 of SP2?), hij is namelijk degene die niet zeker weet of hij kwetsbaar is.

Heb service pack 2 erop staan geloof ik.

Ik heb nog een vraag over het lek microsoft zecht dat win NT4 en windows 2000 sp3 er ook gevoelig voor zijn maar hier is de patch niet voor bedoeld als ik zo lees
wat zijn de mogelijk heden voor win NT4 en windows2000 sp3 zonder te upgraden ?

gerhald schreef op maandag 09 januari 2006 @ 07:35:Wat zijn de mogelijk heden voor win NT4 en windows2000 sp3 zonder te upgraden ?

Niet veel denk ik. Voor Windows 2000 is al een aantal jaar Service Pach 4 uit en Windows NT is al een tijdje niet meer supported.

http://www.nod32.ch/en/download/tools.php

Deze patch werkt ook op 9x en NT. Heb zelf niet mee getest, dus geen garantie van mijn kant!

Ik heb het volgende probleem.

We hebben de patch gedraaid hier op het netwerk (windows 2003 netwerk met allemaal xp stations) alleen nu doet de standaardviewer het niet meer.

We hebben in het loginscript gezet dat ie die SHIMGVW.DLL weer opnieuw regged, alleen dat werkt maar bij sommigen.. Iemand een idee?

Word dat loginscript wel bij iedereen uitgevoerd?

Gaat handmatig registreren op een PC waar het niet werkt ook niet?

Loginscript wordt bij iedereen uitgevoerd en als we het handmatig doen gaat het goed

Al gevonden. We hebben Landesk draaien en die controleert of de patches wel geinstalleerd zijn. Blijkbaar wordt de patch geinstalleerd nadat we het scriptje gerund hebben zodat het niet meer mogelijk is dat jpg's geopend kunnen worden met de standaardviewer.

Nu heb ik de patches uit de controlelijst gehaald en nu kan iedereen de jpgs weer openen...