Yeni Açık, Yeni Solucan ?, Resim Korkusu...

26-9-2004

Bir kaç gündür heryerde windows GDI+ DLL' indeki Buffer Overrun açığı (MS04-028) konuşuluyor. Eğer konuşulmuyorsa da hemen konuşulmalı.

Herşeyden önce nedir derseniz;
Özetle bakmak istediğiniz bir JPG resim sisteminizde istediği kodu çalıştırabiliyor. Bunun da anlamı vasat bir resim tarafından bir saldırganın bilgisayarınızı kolayca ele geçirebileceğidir. Bakmak derken yanlış anlaşılmasın bu resmin bulunduğu klasörü dolaşmanız, içene gömülmüş bir Word dosyasını açmanız vs. hepsini kastediyorum. Olay GDI+ DLL' inden kaynaklandığından ve bu da resim ile ilgili işlemler yapan uygulamalar ile birlikte dağıtılan bir DLL olduğundan sadece bir değil bir çok program etkileniyor. Windows' un her zamanki popüler Ofis uygulamaları, Visual Studio harici bir de 3rd parti vs MS dışı yazılımlarında bir çoğu etkilendi. MS Tam Listesi - Affected Software

Dolayısıyla eğer zaten yapmadıysanız hemen Windows Update + Ekstra Patchleri hemen uygulayınız. Ek olarak eğer bir yazılımcıysanız ve GDI' ı uygulamanız ile dağıtıyorsanız onun da yeni versiyonunu kullanmanız tavsiye edilir ki yazılımınız bundan etkilenmesin.

Bunun yanında mesela Macromedia GDI+' ı kullanmasına rağmen etkilenmediğini duyurdu. Bu dönemki yoğunluğumdan dolayı ancak açık ile ilgilenme fırsatı buldum, Örnek "POC - Proof of Concept" kodlar ile biraz oynadıktan sonra şunu söyleyebilirim ki vasat bir saldırganın bununla bir şeyler yapması gerçekten basit.

Ancak dün yayınlanan yeni bir exploit (JPEF of Death) ile POC' ten öte direk icraata yönelik artık bunu herkesin basitçe kullanabileceğini söyleyebilirim. POC' te gene bir shellcode gömme ve compile işlemi vardı, yeni exploit direk saldırgana bağlantı açabilecek bir resim oluşturmanıza izin veriyor.

Dün gece aynı sırada bir şey daha farkettim, daha önceden ziyaret ettiğimiz F-Secure Weblog' unda bir Türk yazılımcı olan "Atmaca" nickli arkadaşın bu açığı kullanarak webden bir "exe" indiren ve çalıştıran resim üreteci programı (JPEG Downloader) yaptığını farkettim. Atmaca ProRat Trojan' ını da geliştiren kişi ki torjanlar arasında hatırı sayılır bir yere sahiptir.

Anladığım kadarıyla bu uygulamada POC olarak ilk gönderilenlerden C örneğine http download shellcode (downexec.c)' un entegre edilmesinden ortaya çıkmış.

Henüz solucan(worm) tadında bir şeyler piyasaya çıkmadı ancak en az 50 kişinin ciddi bir şekilde bunu yazmaya çalıştığını (çünkü açık gerçekten de bir solucan faaliyetine rhatlıkla imkan sağlıyor). Ek olarak bazı antivirus yazılımları bu exploitleri tanısa da çoğu tanıyamıyor ve özellikle de modifiye etmek çok basit olduğundan antivirus yazılımınıza güvenmeyi beklemeyin.

Açığı bulan Eeye Digital Security bildiğimiz gibi daha önceki RPC Dcom açığını da bulan firma. Bir önceki açık ardından bir dizi worm ile birlikte gelmişti bunun da aynı şekilde olacağını tahmin ediyoruz. Ancak Eeye' ın bulduğu açıklara bakarsak bu adamların dünyadaki tüm windows makianalarda erişimi olduklarını düşünebiliriz herhalde. İşin komiği Eeye' ın çok eğlenceli bir kısmı var Yayınlanacak Açıklar (Upcoming Advisories) yayınlanan açıklar buradan siliniyor ve bazı MS açıkları burada daha önceden de bahsettiğimiz gibi 6 ay kadar takılıyorlar.

Recent Blog Posts

See all of the blog posts