» »

0-day varnostna napaka v MS Word

Slashdot - Strokovnjaki za računalniško varnost so odkrili napad, ki izkorišča prej nepoznano varnostno napako v programu Microsoft Word. Napad poteka tako, da se izbranemu cilju pošlje elektronska pošta z "predelano" MS Word priponko. Le-ta ob zagonu na sistem namesti rootkit, ki nato okužen dokument zamenja z neokuženim, Word pa javi napako in ponudi ponoven zagon programa, ob katerem Word odpre neokužen dokument.

Zlobna koda™ pošlje še neznanim napadalcem podatke o računalniku, nato pa čaka na oddaljene ukaze. Zmožna je iskanja ter spreminjanja datotek na okuženem računalniku, spreminjanja registra, upravljanja s procesi, računalnik lahko tudi zaklene ali ponovno zažene. Sledi napadalcev vodijo v Kitajsko oziroma na Tajvan. Kot kaže, napad deluje na MS Word 2003, zaradi usmerjenega izbiranja tarč pa je možno, da je v ozadju industrijsko vohunjenje. Več podrobnosti o napaki in napadu najdete tukaj.

123 komentarjev

strani: « 1 2 3

Matev ::

In potem se čudijo če nočem plačati za MS word ...

Kot, da bi kupil stopljen sladoled z dodatkom salmonele.

Zgodovina sprememb…

  • spremenil: Matev ()

klemen22 ::

Uporabljaš ga pa vseeno kaj:\
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

Microsoft ::

Ok, sem prebral prvi odgovor, pa se vsebina novice je taka, da bom malo pocakal, da se nabere par odgovorov. Pa da vidm, a bo sla tale debata v smeri Word sux, ali pa bomo poskusal stvar kaj pokomentirat in se zraven se kaj naucit.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

gumby ::

a to pomeni, da word zacne izvajat kodo, ki je v *.doc?

debilnost brez konkurence...:\
my brain hurts

Zgodovina sprememb…

  • spremenil: gumby ()

Poldi112 ::

Ok, sem prebral tretji odgovor in se odločil, da bom tudi jaz raje napisal komentar brez vsebine in še malo čakal da vidim koliko ljudi bo naredilo podobno.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

Pyr0Beast ::

In zaščita pred tem je, da ne odpiraš priponk, kot že vedno doslej?
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

gumby ::

teorija zarote: MS je namerno dal ta "bug" v word, da bo imel izgovor za se vecje forsiranje TC/DRM>:D
my brain hurts

Matev ::

Uporabljaš ga pa vseeno kaj


če bi bilo potrebnoi palčati zanj bi ga kojci prenehal
in začel uporabljati tist drug oo word

Izi ::

DOC fileti so satanovo delo >:D
Izogibati se jih je potrebno kot hudič križa, drugače si mimogrede okužen.

Moj najljubši ukaz, ki ga z pridom uporabljam že leta je:
del *.doc
:D

Pamet v glavo in začnite že enkrat pisati prave dokumente, ki imajo končnico ODT.
Na ODT lahko klikaš brez tresoče roke in prestrašenega pogleda v nebo :P

Ziga Dolhar ::

> Zmožna je iskanja ter spreminjanja datotek na okuženem računalniku, spreminjanja registra, upravljanja s procesi, računalnik lahko tudi zaklene ali ponovno zažene.

O lej, k nisem prijavljen kot Administrator ...
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

antonija ::

Tale ideja o postih brez vsebine je tud meni vsec... Le kaj neki bojo napisal drugi?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Microsoft ::

Se je Ziga opogumil in spravil prvi post v pravo smer.8-)

Problem pri tehle reportih je, da se ne ve, kaj se naredi, ce si prijavljen kot User in ne kot Administrator. Kaj se takrat naredit? A je zmozen ta doc fajl to delat, tudi ce je User pognal to zadevo. Kaj se naredi, ce imas outbound filtriranje vkljuceno? Po katerem protokolu poteka komunikacija z serverjem na kitajskem? Kako skodo je zmozen doc narediti, ce smo ga pognali kot User. Itn itn.
Taki reporti se mi zdijo vredu, kot opozorilo. Samo kaj vec si pa itak ne mores pomagati, ker ni opisanega natancnejsega postopka v katerih primerih to dela v katerih pa ne. To je zelo slabo, ker potem lahko gledamo izbruh raznih lulekov, ki govorijo na pamet v tri dni. Na zalost.

Poleg tega sem zasledil, da doc file uspesno naredi to stvar v Word 2002. Kakor koli ze, ultra bi bil vesel, ce bi kdo dal kake linke na pogoje, v katerih ta doc dela/ne dela. Res.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

mrTwelveTrees ::

hahaha ... se mi že tresejo hlače.... :D
jaz uporabljam M$ word in ga tudi še bom... 0:)

itak pa bojo protivirusni programi zaznali to v datoteki .doc

Tilen ::

novi virus > antivirus

Vedno.
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Ziga Dolhar ::

Tilen,

Virus je "nov" ponavadi par urc. Vsekakor premalo, da bi se dovolj razširil, da bi prišel do mene, če pa že pride, premalo, da bi jaz utegnil nanj "naletet". Če pa že, premalo, da bi jaz uspel pognat ustrezen program. Nato/v tem času je antivirus "novejši". Za vedno.
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

Tilen ::

Casa obstoja sploh nisem omenjal. Ali pač?

Apeliral sem na mrTwelveTrees, kateri misli, da ce laufa nek antivirus da lahko pol vse poklika itd..
boomy@P8P67 PRO/2500K@5Ghz/16GB DDR3/670GTX/ZR24w/VTX3

Zgodovina sprememb…

  • spremenil: Tilen ()

shadow7 ::

Sicer to ni tema o antivirusih, ampak vseeno:
http://www.computeractive.co.uk/.../delays-developing-anti-virus
http://itmanagement.earthweb.com/.../3316511

Toliko, da boste nekateri malo izgubili lažni občutek varnosti (in po možnosti malo pridobili na zdravi pameti).

Zgodovina sprememb…

ank ::

Microsoft povprečen uporabnik windowsov je prijavljen kot administrator in nima vključenega outbound filtriranja.

Poldi112 ::

MS
Piše ti kaj ta zadeva počne. Kakšne pravice potrebuje bi pa lahko vedel. Čeprav je to precej irelevantno, ker ms itak spodbuja uporabnike da so admini in posledično vse kar dela.
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

elasto_mania ::

funkcionira podobno kot backdoor ki ti lahko dela kar hoče na compu ,samo v drugi obliki.

shadow7 ::

Samo razmišljam - a se da nastaviti (brez klicanja batch fajla), da če .doc poženeš iz attach direktorija, open with wordview, else open with word?

gumby ::

desni klik->open with

dela cudeze:)
my brain hurts

shadow7 ::

Neeee, potem imam manj dela, če si napišem batch, kot pa da se vsakič ubadam s tem.

Glede na to, da priponke običajno samo preberem/natisnem, bi mi to prišlo prav. Pa še odpiranje bi bilo hitrejše.

gumby ::

lahko tudi napises batch, ki preveri nek string v imenu datoteke in ustrezno zalaufa word/wordviewer - in ga potem registriras za odpiranje *.doc
my brain hurts

shadow7 ::

No, opažam da z XYZview ne bi z varnostnega stališča pridobil ničesar:

Security Update for Excel Viewer 2003 (KB914451)
Brief Description
A security vulnerability exists in Microsoft Office Excel Viewer 2003 that could allow arbitrary code to run when opening a malicious document. This update addresses that vulnerability.

Za word 2003 viewer sploh še ni na voljo.

Zgodovina sprememb…

  • spremenil: shadow7 ()

grex ::

A se da kakorkoli v Wordu izklopit ta feature, ki omogoča programu da iz .doc datoteke izvaja kakršnekoli ukaze. Navsezadnje je 95% dokumentov v wordu napisanih tako, da ni potrebno kaj drugega, kot pa samo prebrati kar piše noter.

Ali je to že po defaultu (design flaw) neizvedljivo. V tem primeru je res edina rešitev, da si prijavljen kot user, kar pa kolikor vem v winsih ni najbolj prijetno (ali se motim??).

Sam sem sicer na linuxu, sam word morem tudi imeti, ker je pač prenosljivost med OO in wordom bol zanč (in če ti vsi, ki jim fajle pošiljaš, uporabljajo word, nimaš druge izbire).

Microsoft ::

To, da bi Microsoft vzpodbujal, da si prijavljen kot administrator, so vecje buce, kot so kdaj koli zrastle na kateri koli njivi. Tisti, ki so prebrali kako stvar na temo varnost in Microsoft, itak vedo. Ostali pa imajo moznost, da temu verjamejo ali pa se sami preberejo kaj na to temo. Ker je prevec ocitna neumnost, da bi jo spregledal, sem moral pokomentirati.

Pol naprej, kar se tega problema tice, sem malo precekiral. Par neumnosti je spet blo natresenih. Vsaj za zdaj. Prva stvar je namrec ta, da so se v teh dneh dogajali napadi na velika evropska podjetja s pomocjo tega dokumenta. Pred tem bi naj ta doc delal samo v kitajskem Wordu, zdej je sposoben to delati tudi na angleski verziji. Torej, na udaru so korporacije in vladne organizacije, Joe Blow in BigWhale zanekrat nista ogrozena.

Pol tiste neumnosti glede nekih povprecnih uporabnikov in firewalla zaenkrat ne zdrzije, ker kot sem zgoraj napisal, so tarce velika podjetja. Ta imajo outbound filter, pa tudi glede pravic je poskrbljeno.

Naprej, doc file bi naj imel obliko NO.060517.doc.doc. To pomeni, da ze lahko naredis prvi korak pri filtru, da izloci vse *.doc.doc fajle na serverjih, tko da nima stvar moznosti, da pride notri.

Naslednja stvar je ta, da bi naj po okuzbi zacel ta PC pingat server v aziji, s cimer bi mu dal signal, da se je namestil. Torej, outbound ICMP blokiranje iz client masin je ze naslednji korak.

Tretja stvar je ta, da se ve, kaksne spremembe v registru naredi Backdoor.Ginwui. Ce to ves, naredis skripto, ki periodicno precekira vse racunalnike in isce, ce so bili doloceni keyi ustvarjeni.


Skratka, brez buc, prosim.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

ank ::

Zaenkrat so mogoče res tarče samo izbrane (velika podjetja). Ko bo pa kdo začel to uporabljat tudi za ostale pa bo tisto o povprečnih uporabnikih še kako veljalo.

Poldi112 ::

Super ideja, blokirat icmp da napadalec ne bo mogel pingati ven. Genialno. Skoraj tako kot delati skripto za preverjanje točno te ranljivosti. Kaj pa vse ostalo? Mogoče kar en sop par tisoč skritp v cron in cele dneve samo to laufati.

Glede spodbujanja uporabe admin accounta - kaj imajo security knjige veze s tem? A če prebereš veliko knjig se spremeni setup program in po defaultu nisi več administrator? In ICQ in podobne oslarije delujejo z pravicami userja?
-------------------------------------------------
Nočem foto avatarja. Hočem risan avatar.
-------------------------------------------------

christooss ::

Hm a ni rootkit take pasme virus da dobi administratorske pravice,medtem ko uporabnik laufa normalen uporabniški račun?
-----www.ubuntu.si-------christooss.wordpress.com---------
zakaj je nebo modro. Da imamo lahko sladoled Modro Nebo

Microsoft ::

Treba je locit od blokirat ICMP promet ter blokirat ICMP Request iz desktopov!

Naprej, kaj je narobe s skripto, ki preverja ce ima racunalnik dolocene stvari v registru?

Se naprej, kje si to privlekel tisoc skript? Kaj to delas? Spet kake neumnosti ali kaj drugega?


Ne, rootkit je program, ki se skrije pred antivirusnimi programi, njegove aktivnosi ne vidis v logih, ne vidis ga med folderji/fajli itn. Poleg tega lahko imas rootkit tudi recimo v bazi.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

shadow7 ::

Po temlem sodeč uporablja za "ping" 0 byte http post:
http://isc.sans.org/diary.php?storyid=1...

Pa moja windows masina ima velik problem narediti pravilen resolve domene localhosts.3322.org. WTF? naredi resolve localhosts.3322.org.[mojadomena].com

ank ::

MS

Si se kdaj vprašal zakaj se rootkit imenuje ROOTkit?

christooss ima v bistvu prav

Zgodovina sprememb…

  • spremenil: ank ()

sverde21 ::

V kolikor je men znano je rootkit program, ki laufa brez da bi bil na seznamu procesov. Se pravi nekakšen skrit program...
Our (wannabe) blog: http://randomplac.es/ :)
<?php echo `w`; ?>

Microsoft ::

Ma, poglejte si naokrog, kaj, zakaj in kako je ta rootkit. Jst zaenkrat vztrajam pri svojim, da je namenje skrivanju aktivnosti. Poleg tega vztrajam, da rootkit != password cracker.

Naprej, na strani SANS se najde tole:
We are still analyzing the trojan dropped by the exploit. What we do know is that it communicates back to localhosts[dot]3322[dot]org via HTTP. It is proxy-aware, and "pings" this server using HTTP POSTs of 0 bytes (no data actually POSTed) with a periodicity of approximately one minute. It has rootkit-like functionality, hiding binary files associated with the exploit (all files on the system named winguis.dll will not be shown in Explorer, etc.), and invokes itself automatically by including the trojan binary in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows.

Torej, poveze se na domeno (ali poddomeno) 3322.org. S tem si lahka ze ogromno pomagas, ker ce imas interne DNS serverje, pac to domeno resolvas recimo na 127.0.0.1. Istocasno pregledas log od DNSja, ce je kdo hotu resolvat to domeno. Pa se po casu (vsako minuto) se ve, ali je nekdo testiral domeno ali mas res opravka z okuzenim PCjem.
Napisano pa je tudi, kje v registru so te modofikacije. Kot sem ze zgoraj napisal, pac z skripto cekiras te spremembe.

Busted!


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Zgodovina sprememb…

Daedalus ::

Rootkit

da ne bojo miti in pravljice...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Microsoft ::

Men se najbolj dopade zandja definicija:
A root kit is a set of tools used by an intruder after cracking a computer system.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

ank ::

Meni pa druga. :D

Bistvo je v tem da če intruder za "malicious purposes" potrebuje administratorske privilegije si jih bo dobil.

Zgodovina sprememb…

  • spremenil: ank ()

Microsoft ::

The attack we have seen so far requires admin rights, so limitations on user accounts can help here.
Vir MSRC.

Busted again!!!8-)


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Daedalus ::

Kak pa boš "bustal" dejstvo, da se da v doc fajl skrit kompletn rootkit z backdoorom?
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Microsoft ::

Tko, da ti bom rekel, da si preberi prvi stavek vsake knjige, ki govori o varnosit, pa bos videl v cem je point varnosti. Da ti pomagam z enim takim lepim stavkom:

The first key principle of security is that no network is completely secure; information security is really about risk management.

Ce se ze tu kaj zatakne, potem se ne splaca naprej pogovarjat.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

Daedalus ::

Kaj pa ma network security za opravit z doc obliko zapisa dokumenta?
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

Ziga Dolhar ::

Njen predmet je. Je lahko še kaj bolj elementarnega?

Sicer pa, kar je precej bolj generalnopreventivno pomembno,

> Kak pa boš "bustal" dejstvo, da se da v doc fajl skrit kompletn rootkit z backdoorom?

če ne bi bil admin ... ;-)
Legal systems are not supposed to be efficient. They are
designed to ensure that innocent people are not found guilty.
If that requires inefficiencies, so be it.

Zgodovina sprememb…

Microsoft ::

Poleg tega network security != information security.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

balocom ::

A root kit is a set of tools used by an intruder after cracking a computer system.

Ke ni ta vdor oz. lukna cracking ?

EDIT:
The hacker installs the rootkit after obtaining user-level access: typically this is done by cracking a password or by exploiting a vulnerability.
V svetu brez googla bi bil najbolj uporabljen ukaz v bash-u ukaz man

Zgodovina sprememb…

  • spremenil: balocom ()

ank ::

Hehe MS

To se ti samo zdi da je busted.

Ni vse tako enostavno.

Microsoft ::

Ni problema, ank. Sem vesel novih izzivov na podrocju vanrosti. Povej, kje so se problemi? Kaj se manjka? Kaj ne drzi? Itn. Mene pac te stvari zanimajo, tko da sem vesel vsakrsnih informaicj.


by Miha
s8eqaWrumatu*h-+r5wre3$ev_pheNeyut#VUbraS@e2$u5ESwE67&uhukuCh3pr

jlpktnst ::

well, če se da skrit vse tole not v doc... se da skrit v doc program ki lokalno poheka admin access in se kot admin inštalira, kajne? torej, busted.

Pa da ne omenim tega da ti lahko požre vse tvoje user fajle in/ali jih pošlje na kitajsko brez da bi se ti infiltriral komp kaj bolj. (razen če imaš helluva blokiran sistem)

Zgodovina sprememb…

  • spremenil: jlpktnst ()

ank ::

Ti je že Daedalus prej napisal v čem je problem.

Ali pa mooče ne veš kaj je backdoor?

Zgodovina sprememb…

  • spremenil: ank ()
strani: « 1 2 3


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Oddaljeni BSOD

Oddelek: Novice / Varnost
353272 (1159) PIPI
»

Windows Vista + kateri MS Office?

Oddelek: Programska oprema
61050 (922) darkkk
»

Firefox 2.0.0.12 z resno varnostno luknjo (strani: 1 2 )

Oddelek: Novice / Varnost
757260 (3068) Loki
»

MS060-40 kaže zobe

Oddelek: Novice / Varnost
212285 (1302) Matthai
»

0-day varnostna napaka v MS Word (strani: 1 2 3 )

Oddelek: Novice / Varnost
1237749 (4283) MrStein

Več podobnih tem