Alweer 0-day lek in DirectShow
Gepubliceerd: Maandag 6 juli 2009
Auteur: Sander van der Meijs
Er is een nieuw lek opgedoken in DirectShow. Ook het nieuwe lek wordt al actief misbruikt.
Het lek waar Microsoft eind mei voor waarschuwde is nog niet gedicht, of er is alweer een nieuw lek gevonden in DirectShow. Dat meldt het Deense CSIS, helaas alleen in het Deens. Het gaat om een lek in de msVidCtl-component van DirectShow, dat dus actief wordt misbruikt door middel van drive-by attacks. Daarvoor zouden duizenden gecompromitteerde websites worden gebruikt, die pas zijn geïnfecteerd.
Volgens McAfee gaat het daarbij niet om heel erg verdachte websites, maar om domeinen van scholen en sites van lokale clubs. De exploit toolkit gaat eerst na of de oorsprong van de hyperlinks niet komt van '.gov.cn' of '.edu.cn' domeinen, die worden gebruikt door Chinese overheids- en educatiesites. Zijn de bezoekers niet vandaar doorverwezen, dan worden ze opgezadeld met een cocktail van exploits, die vervolgens de downloader trojan installeren. Die trojan installeert daarna nog meer malware op de computer.
De code van de exploit staat al op een aantal Chinese websites, dus elke hacker heeft er toegang toe. Daardoor kunnen we in de nabije toekomst dus nog meer aanvallen als deze verwachten.
Gebruikers met Windows XP, Windows 2000 en Server 2003 in combinatie met Internet Explorer 6.x en 7.x zijn kwetsbaar. Die kunnen als als workaround een kill bit op de kwetsbare DLL loslaten, zoals beschreven op isc.sans.org.
Bron: Techworld
