Binnenkort meer aanvallen op bug in DirectShow

Microsoft waarschuwde vorige maand in een advisory voor de kwetsbaarheid en nu lijkt de exploit van dit 0-daylek te zijn opgenomen expoit kits. Dat schrijft Symantec onderzoeker Liam Murchu op een blog, waarin hij de hele routine van de exploit beschrijft. Daaruit blijkt dat het lang niet makkelijk is om de kwetsbaarheid uit te buiten.

Maar als de exploit gewoon te downloaden is, dan verandert dat de zaak. "Uit ons onderzoek tot dusver blijkt dat deze exploit steeds vaker voorkomt en we onderzoeken het gebruik ervan in web exploit kits. Waarschijnlijk zal dat ertoe leiden dat deze exploit binnenkort vaker gebruikt zal gaan worden."

Microsoft heeft nog geen patch uitgegeven voor deze bug, die Windows 2000, XP en Server 2003 treft. De aanvaller moet het slachtoffer naar een phishigpagina lokken, waarna de bezoeker ongemerkt naar een andere url wordt geleid, waarop de DirectShow aanvalscode wordt gehost, in de vorm van een kwaadaardige .avi file. Uiteindelijk wordt er een Trojan geïnstalleerd die de pc inlijft in een botnet.

Hoewel er dus nog geen patch is, heeft Microsoft wel een oplossing. Het probleem is opgelost als de gebruiker QuickTime parsing uitzet op zijn Windows 2000, XP en Server 2003 machines. Daarbij moet gezegd worden dat niet QuickTime de boosdoener is, maar de parser in DirectShow, wat weer een component is van DirectX. Microsoft biedt een tool aan waarmee je het QuickTime parsen gemakkelijk uit kunt zetten. Normaal gesproken zou daar het met de hand editen van de Windows regestry voor nodig zijn en daar schrikken de meeste mensen voor terug.

Over het algemeen verwacht men dat Microsoft volgende Patch Tuesday met een patch zal komen.

Bron: Techworld