Abonneer je gratis op Techzine!

Diverse veiligheidsinstellingen, zoals F-Secure en Bugtraq hebben gewaarschuwd voor een zogenaamde zero day vulnerability in Windows. Vooralsnog is er geen patch beschikbaar.

Het lek zit in de methode waarop Windows WMF bestanden (Windows Metafiles) rendert. De patch is inmiddels ook bekend bij crackers en het lek wordt dan ook massaal uitgebuit. Momenteel ziet het er naar uit dat computers met Windows XP SP2, die volledig gepatched zijn, kwetsbaar zijn voor de aanvallen.

Volgens F-Secure worden op het moment de volgende Trojans verspreidt door de website unionseek[DOT]com:

  • Trojan-Downloader.Win32.Agent.abs
  • Trojan-Dropper.Win32.Small.zp
  • Trojan.Win32.Small.ga
  • Trojan.Win32.Small.ev.

Gebruikers kunnen besmet raken als ze een website bezoeken waar het WMF bestand op staat. Gebruikers van Internet Explorer kunnen automatisch geïnfecteerd raken, maar Firefox gebruikers moeten eerst aangeven of ze het bestand willen uitvoeren of downloaden.

Uit testen van F-Secure gaf Firefox (onder 1.0.4) aan dat het bestand standaard met de "Windows Picture and Fax Viewer" wordt geopend en dit programma is kwetsbaar. In nieuwere versie van Firefox wordt geopteerd voor Windows Media Player en dat programma is niet kwetsbaar. Dit programma kan echter geen WMF bestanden openen, dus dit is meer een bug van Firefox. Ook Opera geeft "Windows Picture and Fax Viewer" als standaardprogramma aan, maar ook hier wordt de gebruiker eerst om toestemming gevraagd.

F-Secure raadt webmasters aan alle WMF bestanden te filteren op HTTP en SMTP niveau. Daarnaast wordt aangeraden om de toegang tot de volgende websites te blokkeren:

  • Crackz [dot] ws
  • unionseek [dot] com
  • www.tfcco [dot] com
  • Iframeurl [dot] biz
  • beehappyy [dot] biz

F-Secure raadt verder iedereen om ZEER voorzichtig te zijn met WMF bestanden, want het is erg eenvoudig om geïnfecteerd te raken. Zo kan een computer zelfs besmet raken door commando’s vanuit DOS box. Ook Google’s Desktop programma kan het best uitgeschakeld worden, aangezien dit programma mediabestanden indexeert.

Meer over het probleem is te vinden op de site van F-Secure. Verwacht wordt dat Microsoft er alles aan zal doen om zo snel mogelijk een patch uit te brengen.