Hackere optrapper DirectShow-angreb mod Windows

Microsoft nåede ikke at blive klar med en opdatering, som lukker sårbarheden med navnet DirectShow, til denne måneds opdateringer. Nu rapporterer CSIS om nye angreb.

Microsoft udsendte tirsdag de planlagte sikkerhedsopdateringer for juni måned, men selskabet var ikke klar til at frigive en opdatering, som kan lukke et sikkerhedshul, som er blevet brugt i målrettede angreb.

Nu rapporterer sikkerhedsfirmaet CSIS om en øget aktivitet, hvor sårbarheden bliver set forsøgt udnyttet flere steder på internettet. Derfor frygter CSIS nu ifølge en advarsel til selskabets kunder, at sårbarheden vil blive brugt til flere angreb mod større målgrupper.

Sårbarheden findes i en del af Microsofts DirectX-pakke kaldet DirectShow. Det drejer sig konkret om DLL-filen quartz.dll, som bruges af Windows 2000, Windows XP og Windows Server 2003 til at afkode video i Apples QuickTime-format.

Funktionen blev ifølge Microsoft fjernet under udviklingen af Windows Vista, og derfor er hverken Windows Vista eller nyere udgaver af Windows påvirket.

Microsoft udsendte en advarsel om sårbarheden efter at have modtaget rapporter om enkelte målrettede angreb, hvor sårbarheden blev udnyttet.

Det er et mønster, der er set flere gange tidligere omkring sårbarheder i eksempelvis Microsoft Office. Først bliver de ukendte sårbarheder brugt mod enkelte mål, og når de bliver offentligt kendt, bliver exploit-koden tilgængelig til mere brede angreb.

Denne sårbarhed findes i en del af Windows, som kan tilgås af flere programmer. Hvis en webbrowser har adgang til DirectShow, kan sårbarheden udnyttes ved hjælp af ondsindet kode på et websted. Tilsvarende er det også muligt at sende en fil til en bruger, som derefter forsøger at åbne den med Windows Media Player.

Ifølge CSIS er det angreb, selskabet har set, netop et websted, som med et script kalder quartz.dll og afvikler ondsindet kode på systemet.

Angrebet bliver brugt til at installere en bagdør på den inficerede pc, som gør den til en del af et botnet. Det kan samtidig bruges til at aflure al aktivitet på pc'en og eksempelvis stjæle kreditkortoplysninger eller andre følsomme data.

Man er ifølge Microsoft ikke beskyttet mod sårbarheden, selvom man har installeret Apples QuickTime-software, fordi det er muligt at udforme angrebet, så det specifikt går efter quartz.dll.

QuickTime bliver blandt andet distribueret sammen med Apples iTunes software. Formatet var tidligere udbredt til distribution af video på internettet, men er i dag overskygget af især video i Flash og Microsofts medieformater.

Microsoft arbejder på en sikkerhedsopdatering, men ifølge selskabet nåede den ikke at leve op til kvalitetskravene til at komme med i de månedlige opdateringer. Selskabet har dog stadig mulighed for at udsende den som en ekstraordinær opdatering, inden de næste opdateringer udsendes den 14. juli.

Microsoft har dog frigivet en midlertidig workaround, som kan forhindre en ondsindet fil i at udnytte sårbarheden. Det kan enten ske ved at downloade en fil til at ændre én til to nøgler i registreringsdatabasen eller ved manuelt at slette nøglerne. Se link til løsningen under 'Eksterne Link' herunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans-Michael Varbæk

Undskyld, men dit navn bør vidst også rettes til fejl-informeret..

Hackere optrapper DirectShow-angreb mod Windows.
100% korrekt formuleret. En hacker behøver ikke have noget at gøre med computere at gøre, men i dette tilfælde er det dog rigtigt. Ovenstående er selvfølgelig interesseret i hvordan tingene fungerer, om de kan gøres bedre (hvor man f.ex. finder sikkerhedshuller og ser om man også kan udnytte dem) og selvfølgelig får rettet disse huller, før eller senere hen. (der er nogen som er ligeglad med om programmør-fejlene bliver rettet).

Men der står altså ikke noget om at dette er kriminelt nogle steder i loven. For hacking er ikke ulovligt i Danmark så længe man: - Har tilladelse eller - Gør det på eget udstyr. (og ja det er der masser der gør, f.ex. det gør jeg næsten hver dag for at lære nyt og finde sikkerhedshuller i web-applikationer).

Betydningen af ordet Hacker og Cracker (som nogle har læst betyder Criminal Hacker) kan godt fortolkes sådan, men som tiderne skifter så gør betydningen af disse ord også. I starten var det rigtigt nok at en kriminel hacker var en cracker, men det er altså godt nok lang tid siden.

En Blackhat Hacker er en bedre og meget mere præcis betegnelse. (hvis man snakker om hackere som gør ulovlige ting uden tilladelse).

En Cracker i den nuværende verden ville jeg mere betegne som en der har specialiseret sig at: Cracke programmer, kryptering og alt hvad der nu kan crackes.

Hacking er ligesom Ying og Yang. Der skal være nogen som finder hullerne i systemer for at de kan blive bedre. Fordi IT-sikkerhed er menneskabt og det vil derfor altid have et aspekt af usikkerhed.

En Whitehat Hacker (dvs. en som kun gør godt) kan også kaldes: Etisk Hacker, IT-Sikkerheds Konsulent/Expert, måske bare CISSP (certifikat som en del Whitehats har), osv.

Man skal ikke tro på alt hvad der står på Wikipedia :-) Jeg kan sagtens godt gå ind og rette på siden og skrive noget som slet ikke passer da jeg regner med at det er der eller et andet sted du har fået din information fra.

  • 0
  • 0
Dennis Krøger

Hans-Michael, i sin originale form har hacker slet ikke noget med at bryde ind på systemet (lovligt eller ulovligt at gøre), "hacking on a system" er/var bare at f.eks. tilpasse scripts, programmer eller konfigurere et system.

Til gengæld er det slag vist ved at være tabt. Nu hedder det cracker, og det er fjollet at brokke sig hver gang det bliver nævnt.

  • 0
  • 0
Jesper Stein Sandal

På dansk har ordet "cracker" aldrig rigtigt været brugt i anden betydning, end den gang ordet optrådte i splashscreens for programmer, hvor crackere tog æren for at have brudt kopisikringen.

Hacker kan ganske rigtig også (på engelsk) betyde "kodehaj", men den betydning er i dag sekundær.

Ordet "cracker" har også flere betydninger på engelsk, som formentligt har været medvirkende til, at det i dag stort set ikke bliver brugt uden for visse subkulturer (i hvert fald når vi taler om at skelne mellem kodehajer og it-kriminelle). Hvis det skal skæres mere ud i pap, så er "cracker" enten noget, man putter ost på, eller et ord den sorte befolkning i USA bruger om hvide på samme måde som "nigger".

Popkulturelle henvisninger til begrebet "hacker" har også (som det er helt naturligt, hvis man har en pragmatisk holdning til sprogbrug og sprogets udvikling) været med til at flytte betydningen mod "en person, som bryder ind i et computersystem". Filmen "Hackers" for eksempel.

Så uden for IRC :-) "you crack a safe, but you hack a computer". Medmindre du har en tidsmaskine og rejser tilbage til 1980'erne, så er løbet i hacker/cracker kørt (foreløbigt, sproget udvikler sig hele tiden).

Det forhindrer selvfølgelig ikke subkulturer i at bruge begrebet anderledes og eksempelvis kalde en elegant/hurtig løsning på et programmeringsproblem for et hack, og de bedste inden for et felt for hackere. Men i den generelle sprogbrug, er en hacker en person, som bryder ind i et computersystem.

Mvh.
Jesper Stein Sandal
Version2

  • 0
  • 0
Hans-Michael Varbæk

@Dennis => En hacker interesserer sig som sagt for hvordan tingene virker og om de kan gøres bedre og som det allerede er sagt, så kan man godt bruge denne interesse til at finde sikkerhedshuller og bryde ind på computere, lovligt eller ulovligt. Du er velkommen til at se "Hackers Are People Too" som er optaget på Defcon i USA.

@Jesper => God definition. Det kan ikke beskrives bedre, udover at som du selv skriver: "Det forhindrer selvfølgelig ikke subkulturer i at bruge begrebet anderledes og eksempelvis kalde en elegant/hurtig løsning på et programmeringsproblem for et hack" fordi det er lige præcis hvad jeg ser folk kalde det nogle gange. :-)

Men du har ret i den generelle betydning, jeg er helt enig. Men som jeg allerede har sagt, der findes både Whitehats og Blackhats, samt Grayhats. (ja endda også de farlige Ghost Hackere som nogle kalder dem). Problemet er at rigtig mange har hver deres fortolkning af ordet da det stadigvæk er et forholdsvist nyt ord i forhold til så mange andre ord og eftersom folk bruger ordet Hacker i flæng når det faktisk handler om Script Kiddies, ja så er det jo noget værre noget :-)

Men tak for din respons ;-)

  • 0
  • 0
Jesper Stein Sandal

Hej Hans-Michael

Nemlig, Black-/White-/Greyhat begrebet har erstattet Hacker/Cracker inden for de folk, som i gamle dage ville være blevet kaldt hackere og crackere. :)

Script-kiddies er en kategori for sig selv, men de er afhængige af de redskaber, som de "rigtige" hackere udvikler.

Der er så også opstået en ny gruppe, som ikke helt falder ind under script-kiddies, fordi deres motiver ikke er vandalisme men profit. Det er de kriminelle, som køber sig til malware-stumper, botnet-adgang og bulletproof hosting for at sælge kopiviagra eller fupantivirus.

Som eksempelvis i dette tilfælde, hvor hackere først har fundet en sårbarhed og formentligt solgt den til personer, som vidste, hvordan de kunne udnytte den. Efter sårbarheden er blevet kendt, er exploitet blevet mindre værd og er nu i hænderne på de mindre fisk (men dem der laver mest ballade for flest ofre).

  • 0
  • 0
Log ind eller Opret konto for at kommentere