Het recent ontdekte .wmf-lek in Microsoft Windows is naar alle waarschijnlijkheid het grootste lek ooit ontdekt in het Windows-besturingssysteem. Het lek in het Windows Meta File-systeem is afgelopen week toevallig ontdekt. Na het uitlekken van een manier tot misbruik maken hackers er gretig gebruik van. Microsoft heeft nog geen patch uitgebracht om het lek te dichten.
.wmf-bestanden zijn een speciale soort bestanden die naast een afbeelding ook codes kunnen bevatten. Dit in tegenstelling tot JPEG- en GIF-bestanden die dat gewoonlijk niet kunnen. De codes in .wmf-bestanden kunnen een opdracht geven aan een internetbrowser. Alleen Internet Explorer en Firefox voeren deze opdrachten uit, hoewel gebruikers van Firefox 1.5 en later eerst een waarschuwing krijgen als een dergelijk bestand een opdracht wil gaan uitvoeren.
Reacties op dit bericht
quote:Bij secunia hebben beiden bugs open staan die niet of niet compleet gepatcht zijn. Echter, als je een architectuur discussie gaat houden is wel of niet een patch maar een deel van het verhaal. Ook met een bug als dit is er simpelweg een workaround, probleem weg. Kun je ook als een patch zien. Als je NU veilig wil zijn kan dat gewoon.Op dinsdag 3 januari 2006 09:24 schreef Hammer20 het volgende:
[..]
Linux heeft daar binnen een paar uur al een patch voor, bij Windows is dat vaak wachten tot een bepaalde dinsdag in de maand
quote:Iets met een klok en een klepel?Op dinsdag 3 januari 2006 09:21 schreef The_End het volgende:
[..]
Dit is echt dikke onzin RemcoDelft. Je hebt blijkbaar geen idee hoe de security in Windows EN Linux werkt.
Ten eerste draaien libraries niet onder vaste rechten, maar onder rechten van de persoon die ze aanroept. Een JPG-library wordt bijvoorbeeld geladen in opdracht van paint. Dan wordt deze library in de context van paint geladen. Dat betekent dat als paint door mij wordt geladen, de library ook door mij wordt geladen. Met mijn rechten en niet die van SYSTEM!
quote:Ik ken de feiten wel. Het stukje wat jij daarna hebt gepost, stipt een heel ander iets aan, dan waar jij over loopt te ijlen.Op dinsdag 3 januari 2006 09:44 schreef RemcoDelft het volgende:
[..]
Iets met een klok en een klepel?
Lees mijn post direct boven jouw post eens! Je zou willen dat het werkt zoals je zegt. Sterker nog, je zou verwachten dat het zo werkt. Maar helaas is het niet zo.
Beetje knullig dat je mij denkt te vertellen hoe security werkt, terwijl je de feiten niet kent
quote:Dat gaat feitelijk over privilige escalation. De architectuur van Linux en Windows zijn helemaal niet zo verschillend als wel wordt gedacht. In elk geval ja in Windows is op een gegeven moment besloten om de graphics te verplaatsen naar de kernel, daar waren toen goede argumenten voor met als vervelend bijeffect dat dit invloed heeft op de stabiliteit. Die argumenten van toen zijn vandaag de dag minder valide vandaar dat de boel nu ook weer uit de kernel gaat. Voor zover mij bekend is er nog nooit een fout gevonden waarbij het tonen van een plaatje leidde tot het uitvoeren van code in de context van de kernel. Dat is ook hier niet het geval.Op dinsdag 3 januari 2006 09:20 schreef RemcoDelft het volgende:
[..]
Toch gevonden: hier staat het antwoord:
Linux
<a href="http://www.theregister.co.uk/security/security_report_windows_vs_linux/#multiuser<blockquote><span" target="_blank">http://www.theregister.co(...)ser<blockquote><span</a> style="font-size: 10px;">quote:</span><div class="quote">Even more important, Linux provides almost all capabilities, such as the rendering of JPEG images, as modular libraries. As a result, when a word processor renders JPEG images, the JPEG rendering functions will run with the same restricted privileges as the word processor itself. If there is a flaw in the JPEG rendering routines, a malicious hacker can only exploit this flaw to gain the same privileges as the user, thus limiting the potential damage. This is the benefit of a modular system, and it follows more closely the spherical analogy of an ideally designed operating system (see the section Windows is Monolithic by Design, not Modular).</div></blockquote>Windows:
[..]
(en dit is erger dan ik ooit van Windows gedacht had!)
quote:zelfs dan schijnje kwestbaar te zijn...Op dinsdag 3 januari 2006 02:59 schreef Henno het volgende:
Ben je ook vatbaar als je het beheerdersaccount alleen gebruikt waarvoor het bedoeld is? Ik ben in mijn omgeving ongeveer de enige die een gelimiteerd account gebruikt voor dagelijks gebruik waaronder het surfen naar sites. Als die WMF code in de context van zo'n normale gebruiker wordt uitgevoerd kan deze echt Windows niet overnemen.
Vista gaat het hopelijk oplossen door standaard ook de beheerder te beperken.
quote:niet nodig, tenzij mensen geen gezond verstand hebbenOp dinsdag 3 januari 2006 09:33 schreef magicsam het volgende:
Voor de mensen die echt VEILIG willen surfen in Windows:
http://www.vmware.com/products/player
Werkt echt perfect en scheelt een heleboel ellende!
quote:vbergeet dan niet dat linux eigenlijk opgebouwd is uit hacks/workarounds.Op dinsdag 3 januari 2006 09:24 schreef Hammer20 het volgende:
[..]
Linux heeft daar binnen een paar uur al een patch voor, bij Windows is dat vaak wachten tot een bepaalde dinsdag in de maand
quote:Dat is natuurlijk onzin. Over beide systemen is goed nagedachtOp dinsdag 3 januari 2006 10:06 schreef mschol het volgende:
[..]
vbergeet dan niet dat linux eigenlijk opgebouwd is uit hacks/workarounds.
en windows een proffesioneel geprogrammeerd besturingsysteem
quote:It's not a bug it's a featureWmf-lek blijkt geen lek maar Windows-functie
Maandag 2 januari 2006, 09:25 - Het wmf-lek in Windows blijkt eind jaren tachtig bewust aan het besturingssysteem te zijn toegevoegd. Een bekende Windows-expert heeft zelf een oplossing ontwikkeld.
Virusexperts wereldwijd zijn in rep en roer nu het recent ontdekte 'wmf-lek' gretig door hackers wordt misbruikt. Bovendien is nieuwsjaardag een nieuwe exploit verschenen waarmee het lek kan worden misbruikt.
Volgens F-Secure is deze versie geavanceerder dan de vorige en daardoor veel gevaarlijker. 'Het stelt nieuwkomers in staat om eenvoudig snel veranderende en moeilijk te detecteren versies van afbeeldingen te maken die computers kapen als ze worden bekeken', aldus Mike Hypponen van F-Secure.
Omdat Microsoft nog geen patch voor het lek beschikbaar heeft, schat Hypponen dat honderden miljoenen computers wereldwijd geïnfecteerd kunnen worden.
Alle versies
Het potentiële gevaar is mogelijk nog groter dan aanvankelijk gedacht. Inmiddels is duidelijk geworden dat het 'wmf-lek' eind jaren tachtig bewust aan Windows is toegevoegd om bepaalde functionaliteit mogelijk te maken.
De fout lijkt dan ook alle versies van Windows te treffen en niet alleen Windows XP en Server 2003, zoals aanvankelijk werd gedacht.
Happy New Year
Niet alleen is er inmiddels een nieuwe exploit ontdekt, ook hebben virusexperts een mailvirus ontdekt dat misbruik maakt van het wmf-lek. Dit virus, genaamd PFV-Exploit.D, komt binnen als nieuwjaarwens in de vorm van een jpg-plaatje en installeert na executie een Trojaans paard.
Virusexperts verwachten echter niet dat het bij dit virus blijft. 'Het wordt allemaal nog erger', zo voorspelt Hypponen, die geen goed woord over heeft voor de virusexperts die hebben bijgedragen aan het verspreiden van de exploitcode.
'Het openbaar maken van dergelijke hulpmiddelen als er nog geen patch beschikbaar is, is onverantwoord', stelt Hypponen. 'Iedereen die betrokken is bij het maken en distribueren van de exploit weet dit en zou beter moeten weten.'
Fix
Ook de bekende Windows-expert Ilfak Guilfanov, tevens auteur van Interactive Dissembler Pro (IDA), heeft zich in het wmf-lek verdiept en een fix ontwikkeld.
Deze bugfix ( http://www.hexblog.com/security/files/wmffix_hexblog13.exe ) tast de functionaliteit van het systeem niet aan, maar schakelt de eind jaren tachtig ingebrachte Escape()-functie uit. Experts, waaronder SANS http://isc.sans.org/diary.php?rss&storyid=996 , adviseren deze fix te installeren
quote:Natuurlijk niet, bugs verdwijnen niet spontaan. Bovendien, user accounts heb je nu ook al, het wordt alleen NOG restrictiever en zelfs dat kan deels nu al.Op dinsdag 3 januari 2006 10:43 schreef KoosSpee het volgende:
Deze problemen gaan bij Vista allemaal tot het verleden behoren; dan zullen de useraccounts eindelijk standaard beperkt gaan worden.
quote:Hehe, dit is echt de wereld op zijn kop.Op dinsdag 3 januari 2006 10:06 schreef mschol het volgende:
[..]
vbergeet dan niet dat linux eigenlijk opgebouwd is uit hacks/workarounds.
en windows een proffesioneel geprogrammeerd besturingsysteem
quote:Het heeft er in feite mee te maken dat toen de basis van Windows werd neergezet er nauwelijks werd nagedacht over veiligheid maar vooral aan functionaliteit. PCs waren traag en door het grafische systeem hoger in de rangorde te zetten werd het aanmerkelijk sneller. PCs in die tijd werden gewoon standalone gebruikt of in een klein bedrijfsnetwerkje. Internetgebruik prive of zakelijk was er nauwelijkst, begrippen als wormen, trojaanse paarden, phishing, botnets, spyware en spam zouden pas jaren later worden bedacht. En niemand had ooit van buffer exploits gehoord.Op dinsdag 3 januari 2006 09:34 schreef Boswachtertje het volgende:
Ach het is toch nu inmiddels wel duidelijk dat Windows niet feilloos is? Misschien komt het gewoon doordat de hackers van tegenwoordig een stuk gehaaider zijn dan die software-pipo's uit silicon valley
quote:De basis van het huidige XP zit in Windows NT en dat was van oorsprong primair een server systeem, van netwerken wisten ze dus wel wat. Het scheiden van gebruikers is al sinds die tijd mogelijk. Het enige wat Vista in deze toevoegt is het nog restrictiever kunnen maken.Op dinsdag 3 januari 2006 11:30 schreef ymmv het volgende:
[..]
Het heeft er in feite mee te maken dat toen de basis van Windows werd neergezet er nauwelijks werd nagedacht over veiligheid maar vooral aan functionaliteit. PCs waren traag en door het grafische systeem hoger in de rangorde te zetten werd het aanmerkelijk sneller. PCs in die tijd werden gewoon standalone gebruikt of in een klein bedrijfsnetwerkje. Internetgebruik prive of zakelijk was er nauwelijkst, begrippen als wormen, trojaanse paarden, phishing, botnets, spyware en spam zouden pas jaren later worden bedacht. En niemand had ooit van buffer exploits gehoord.
Tegenwoordig is MS daar wel heel van doordrongen. Ze zijn al jaren bezig met het strenger controleren van nieuwe code. In Vista zal dat nog duidelijker zijn. Het grafische systeem word naar beneden gezet zodat een buggy driver het systeem niet kan laten crashen, het systeem wordt veel modulairder opgebouwd, de sourcecodes worden veel strenger gecontroleerd op fouten en veiligheidsrisico's, de default wordt dat mensen met user-rechten werken ipv administrator, etc etc. Bijna alles gaat in het nieuw of is anders onder handen genomen op mogelijke problemen.
In XP heb je echter nog steeds te maken met heel veel legacy-libraries die al meer dan tien jaar in het systeem zitten en dus nog uit het virus-loze tijdperk stammen toen beveiliging nog geen isseu was. En dus zullen er nog regelmatig nieuwe gaten worden gevonden in obscure stukjes software die op zich prima werken maar door een hacker met de juiste input gecrasht kunnen worden waarna een virus of trojan gestart kan worden.
Het is dus nog een maand 10 wachten tot Windows Vista verschijnt. Voorlopig moet je met XP er gewoon op letten dat al je software up to date is om risico's uit te sluiten. (Waarbij ik met software niet alleen Windows bedoel maar echt *alle* software. Die buffer exploit-truc kan met elk programma worden uitgehaald dat kan crashen als het gemanipuleerde bestanden inleest.)
quote:kloptOp dinsdag 3 januari 2006 10:41 schreef gargamel het volgende:
[..]
Dat is natuurlijk onzin. Over beide systemen is goed nagedacht
quote:dan zit je in princiepe veilig aangezien je virusscanner em opvangtOp dinsdag 3 januari 2006 13:44 schreef reconnect het volgende:
als ik die test pagina open, waarschuwt mijn virusscanner me..is dit ook de bedoeling van die test?
quote:dat is grotendeels een mythe en ook niet zo relevant. Je kunt windows allerlei extra functies geven zonder ooit iets aan het syteem aan te passen bijvoorbeeld. Aan de andere kant kun je alle code van linux controleren maar worden er nog regelmatig problemen gevonden die er al jaren in blijken te zitten.Op dinsdag 3 januari 2006 13:13 schreef mschol het volgende:
[..]
klopt
maar bij linux word als iets niet werk of iemand wil snel een extra funcite hebben even snel iets geschreven door een scriptkiddie..
dit wordt online geplaatst en klaar iedereen kan er gebruik van maken..
nou zullen de grote bedrijven als red hat etc programmeurs er achterzetten om te zorgen dat het 'netjes' in de code past
maar dit zal never nimmer nooit bij windows gebeuren...
het enige van linux dat eigenlijk vrij is van hacks/workarounds en andere troep is de kernel aangezien linus torvald dat zelf in de gaten houd/laat houden
http://tweakers.net/nieuws/37719
quote:is de Paus katholiek?Op dinsdag 3 januari 2006 08:33 schreef Posergoth6667 het volgende:
weet iemand of ik met Windows Vista ook last zal hebben van dit probleem?
quote:Tuurlijk lekt OS X ook. Alleen omdat niemand het wil gebruiken komt ook niemand er achterOp dinsdag 3 januari 2006 13:52 schreef Beathoven het volgende:
Gelukkig lekt mijn OS X iets minder.. of eigenlijk helemaal niet
quote:Leuk algemeen verhaal en cliche opmerking. Maar nutteloos bij dit specifieke lek. 100 jaar studeren en 20 virusscanners kunnen niet voorkomen het virus op te lopen via een plaatje op een internetsite, zonder iets ingewikkelds te doen.Op dinsdag 3 januari 2006 14:02 schreef Ridocar het volgende:
Het gaat eigenlijk niet om welk besturingssysteem beter is of niet. Zowel Windows als Linux zijn beide veilig genoeg, mits veilig gebruikt. Het is alleen de zwakke plek dat aanwezig is tussen de bureaustoel en toetsenbord. Een simpele computercursus zou volgens mij al een hoop schelen.
quote:Ja... jij weet dus duidelijk niet waar deze bug om gaat.Op dinsdag 3 januari 2006 10:02 schreef mschol het volgende:
[..]
niet nodig, tenzij mensen geen gezond verstand hebben
nooit problemen hier hoor...
Sally (Redactie Sport) 03-01-2006 @ 17:56
quote:Nou, ik probeer de link, maar ik krijg:Op dinsdag 3 januari 2006 02:49 schreef OppClone het volgende:
De enige goede oplossing is tot nu toe die onofficiele patch.
Hier is trouwens de site van de onofficiële patch, met een download link en precieze (technische) uitleg met hoe die werkt: http://www.hexblog.com/2005/12/wmf_vuln.html
Sally (Redactie Sport) 03-01-2006 @ 17:59
quote:Ja dag! Ik moest meteen een .wmf file downen. Dat doen we dus niet. Maar, gisteren heb ik wel zo'n .wmf file binnen gehaald. Het kwam hier als een ACDSee bestand voor, een soort plaatje dus.Op dinsdag 3 januari 2006 03:11 schreef OppClone het volgende:
[..]
Oh ja? hier is een test waarmee je kan testen of je vatbaar bent voor dit lek: multitudious.com/refresh.html (Als je vatbaar bent (en dat ben je zonder die patch) herstart je computer)
quote:Je kunt die patch ook downloaden op http://isc.sans.org/diary.php?storyid=1010Op dinsdag 3 januari 2006 17:59 schreef Sally het volgende:
[..]
Ja dag! Ik moest meteen een .wmf file downen. Dat doen we dus niet. Maar, gisteren heb ik wel zo'n .wmf file binnen gehaald. Het kwam hier als een ACDSee bestand voor, een soort plaatje dus.
Wat kan ik nu het beste doen? Want de pagina met de patch kan ik niet op.
En de pagina met hexblog geeft geen antwoord...
down??
