Microsoft JPEG GDI+ ievainojamības eksploits izgājis tautās

Pirms nedēļas kļuva zināms par Microsoft JPEG GDI+ grafiskās bibliotēkas ievainojamību. Par to rakstīja arī vietējie – hackers.lv un datuve.lv. Es šo ziņu noignorēju, jo uzskatīju to par salīdzinoši nenopietnu tā kā šī ievainojamība skar tikai Windows XP bez otrās servisa pakas kā arī citu specifisku Microsoft programmatūru kurā tiek izmantota šī bibliotēka. Izrādījās, ka šī pati ievainojamība pirms dažiem gadiem bija atrasta arī vecajā Netscape 4.x versijā, kur tā tika salāpīta.

Izdomāju notestēt Microsoft piedāvāto skaneri, kas noteiktu vai lietotāja sistēma ir ievainojama, bet kāds man bija aplauziens, ka vienīgais, ko šis skaneris spēja izdarīt bija pateikt, ka ir ievainojama, lai gan uz Windows 2000 neatjaunotā IE5.x tas (exploits) nedarbojās. Pieļauju domu, ka uz tās sistēmas bija kāda Office programma, kas izmanto šo ievainojamo GDI+ bibliotēku, vienkārši IE to neizmantoja.

GDIscan

Vakar tīklā parādījās jauns skaneris GDIScan 5KiB, nu jau no alternatīviem drošības speciālistiem. Notestēju un rezultātā šis skaneris neko neatrada.

Izmēģināju otru exploitu un ēzelītis vienā mierā nokārās. Lai gan būtu interesanti apskatīties uz rezultātiem, ko tas parādītu, ja atrastu kādu ievainojamu bibliotēku.

Bet visu šo te es rakstu tāpēc, ka tīklā ir parādījies jau nopietnāks eksploits ar kura palīdzību uz Windows XP SP1 sistēmas var izveidot lietotāju ar administratora tiesībām. Lūk tas jau ir nopietni.

Microsoft speciālisti ir sagatavojuši speciālu lapu ar skaidrojumiem kā pareizi “lāpīties”.

23 thoughts on “Microsoft JPEG GDI+ ievainojamības eksploits izgājis tautās

  1. Udzzis

    Kad atrod tad tas izskatās šādi:

    Scanning…
    C:Program FilesArchiCAD 8.1GDIPlus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:Program FilesjvkDllgdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:Program FilesAVUMayura DrawGDIPLUS.DLL
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWS$NtServicePackUninstall$1sxs.dll
    Version: 5.1.2600.0 <– Vulnerable version
    C:WINDOWS$NtUninstallKB839645$ sxs.dll
    Version: 5.1.2600.1106 <– Vulnerable version
    C:WINDOWS$sp2$$ntservicepackuninstall$ sxs.dll
    Version: 5.1.2600.1515
    C:WINDOWSServicePackFiles i386sxs.dll
    Version: 5.1.2600.2180
    C:WINDOWSsystem32sxs.dll
    Version: 5.1.2600.2180
    C:WINDOWSWinSxSx86_Micro soft.Windows.GdiPlus_6595b64144ccf1df_1.0.0 _x-ww_8d353f13GdiPlus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144cc f1df_1.0.10.0_x-ww_712befd8GdiPlus.dll
    Version: 5.1.3101.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2180_x-ww_522f9f82GdiPlus.dll
    Version: 5.1.3102.2180
    Scan Complete.

    Atbildēt
  2. ZZZ

    ie6 uz sweet.jpg spraagst (tad nesalapita ie6 lietosana teoretiski draud ar nepatiksanam)
    firefox uz sweet.jpg nespraagst (tad firefox lietosana nedraud ar nepatiksanam)
    tatad jalieto firefox. ko ari daru

    Atbildēt
  3. endrju

    coolynx, kaut kā nesaprotu Tevi. Kāpēc Tu iedomājies, ka tas nav nopietni? Jau pašos pirmajos Advisories un Proof-of-Concept bija skaidri un gaiši paskaidrots / piemēri, ka var izpildīt ShellCode; Ja var izpildīt shellcode, tad var izpildīt *jebko* – pat Tavu minēto piemēru ar Administratora izveidi; Kaut kā vīlos, ka pods.lv nereaģēja laicīgāk…

    Atbildēt
  4. endrju

    Ak, jā un Microsoft šoreiz ir ļoti labi sagatavojies (protams, ja neskaita gadu veco Proof-Of-Concept kodu sakarā ar Netscape). Uz XP2 ielāps jau bija kādu mēnesi atpakaļ (citā sakarā, bet novērsa arī šo bugu), bet uz pārējiem jau 14. septembrī.

    Atbildēt
  5. Rukicc

    Scanning…
    C:Program FilesAutoCAD 2004gdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:Program FilesCommon FilesMicrosoft SharedOffice10MSO.DLL
    Version: 10.0.3501.0 <– Vulnerable version
    C:Program FilesGlobal GraphicsJaws PDF Editorgdiplus.dll
    Version: 5.1.3100.0 <– Vulnerable version
    C:Program FilesMicrosoft OfficeVisio10gdiplus.dll
    Version: 5.1.3099.0 <– Vulnerable version
    C:WINNTDownloaded Program Filesgdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    Scan Complete.

    Atbildēt
  6. Spameris

    Scanning…
    C:Program FilesCommon FilesMicrosoft SharedOFFICE11MSO.DLL
    Version: 11.0.5606.0
    C:Program FilesMacromediaDreamweaver MX 2004gdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:Program FilesMicrosoft OfficeOFFICE11GDIPLUS.DLL
    Version: 6.0.3260.0 <– Vulnerable version
    C:Program FilesMicrosoft WorksGDIPLUS.DLL
    Version: 5.1.3102.1229 <– Vulnerable version
    C:Program FilesuICEgdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWS$NtServicePackUninstall$sxs.dll
    Version: 5.1.2600.1106 <– Vulnerable version
    C:WINDOWSServicePackFilesi386 sxs.dll
    Version: 5.1.2600.2180
    C:WINDOWSsystem32gdiplus .dll
    Version: 5.1.3102.2180
    C:WINDOWSsystem32sxs.dll
    Version: 5.1.2600.2180
    C:WINDOWSWinSxSInstallTe mp2082049GdiPlus.dll
    Version: 5.1.3102.2180
    C:WINDOWSWinSxSx86_Micro soft.Windows.GdiPlus_6595b64144ccf1df_1.0.0 _x-ww_8d353f13GdiPlus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144cc f1df_1.0.10.0_x-ww_712befd8GdiPlus.dll
    Version: 5.1.3101.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2055_x-ww_51ae8f49GdiPlus.dll
    Version: 5.1.3102.2055 <– Unknown version, possibly vulnerable
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2142_x -ww_522b9e88GdiPlus.dll
    Version: 5.1.3102.2142 <– Unknown version, possibly vulnerable
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2144_x-ww_522b9e8aGdiPlus.dll
    Version: 5.1.3102.2144 <– Unknown version, possibly vulnerable
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2149_x -ww_522b9e8fGdiPlus.dll
    Version: 5.1.3102.2149 <– Unknown version, possibly vulnerable
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .2162_x-ww_522d9f06GdiPlus.dll
    Version: 5.1.3102.2162 <– Unknown version, possibly vulnerable
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x -ww_522f9f82GdiPlus.dll
    Version: 5.1.3102.2180
    Scan Complete.

    Atbildēt
  7. /dev/null

    Btw, aizejot ar IE5 (uz w2ksp4 ar visiem pēdējiem ielāpiem) uz http://www.vid.lv un paklikšķinot, teiksim uz veidlapas, tad mēģinot paņemt kādu veidlapu, ēzelītis smuki nogāžas. Arī droši vien var kādu exploitu uzcept. Nez ar IE6 arī gāžas? Nav man te neviena IE6 tuvumā, kur pamēģināt.

    Atbildēt
  8. Jancis

    Scanning…
    C:Program FilesIpswitchWS_FTP Progdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:Program FilesTechSmithSnagIt 7gdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWS$NtUninstallKB839645$sxs.dll
    Version: 5.1.2600.1106 <– Vulnerable version
    C:WINDOWSDownloaded Program Filesgdiplus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWSsystem32dllcachesxs.dll
    Version: 5.1.2600.1515
    C:WINDOWSsystem32sxs.dll
    Version: 5.1.2600.1515
    C:WINDOWSWinSxSx86_Micro soft.Windows.GdiPlus_6595b64144ccf1df_1.0.0 _x-ww_8d353f13GdiPlus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144cc f1df_1.0.10.0_x-ww_712befd8GdiPlus.dll
    Version: 5.1.3101.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600 .1360_x-ww_24a2ed47GdiPlus.dll
    Version: 5.1.3102.1360
    Scan Complete.

    Atbildēt
  9. Lameris

    Scanning…
    C:Program FilesCommon FilesMicrosoft SharedOffice10MSO.DLL
    Version: 10.0.2625.0 <– Vulnerable version
    C:WINDOWSsystem32dllcachesxs.dll
    Version: 5.1.2600.0 <– Vulnerable version
    C:WINDOWSsystem32sxs.dll
    Version: 5.1.2600.0 <– Vulnerable version
    C:WINDOWSWinSxSx86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0_x-ww_8d353f13GdiPlus.dll
    Version: 5.1.3097.0 <– Vulnerable version
    Scan Complete.

    Atbildēt
  10. Aiziet!

    —– Original Message —–
    From: Valdis Shkesters
    To: news@antivirus.lv
    Sent: Monday, September 27, 2004 5:47 PM
    Subject: New version of Windows JPEG GDI+ exploit
    Šodien Internetā parādījusies vēl viena jauna versija kodam,
    ar kura palīdzību var tikt izmantota nesen atklātā ievainojamība
    dažādos Microsoft produktos JPEG attēlu failu apstrādē.
    Jaunais hakeru instruments JpegOfDeath.M.c v0.6.a All in one
    ļauj pievienot JPEG attēlu failiem četras dažādas funkcijas, ar kuru palīdzību iespējams iegūt attālinātu kontroli pār svešām datorsistēmām.
    Tās var būt par pamatu arī jaunu datorvīrusu radīšanai jau tuvākajā laikā.
    Atgādināsim, ka notikumi pirms dažām pēdējām datorvīrusu epidēmijām attīstījās pēc līdzīga scenārija. Tāpēc datoru lietotājiem ļoti rekomendējas uzstādīt atbilstošos Microsoft programmatūras atjauninājumus MS04-028.
    Ar cieņu,
    Datoru Drošības Tehnoloģijas
    www.antivirus.lv

    Atbildēt
  11. Velko

    Nuja, kā tad, uzlieciet apdeitu un viss būs kārtībā…
    Uzliku to "Windows XP hotfix – KB833987", bet uz sweet.jpg tāpat "pi@#$c osļiku". Ko nu???
    Labi, ikdienā tāpat FF lietoju, bet ja nu tomēr gadās ar IE ielīst kur nevajag…

    Atbildēt

Atbildēt uz komentāru Velko Atcelt atbildi

Tava e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti kā *