� Back

� WWW.SPYROZONE.TK �

 

[067]. MS 04-028, GDI+ JPEG Vulnerability

    

  

------------------------------------------------------

Author  : vaksin.com

Contact : vaksin.com

CopyLEFT (c) 2005 www.spyrozone.tk All Rights Reserved

� 17/08/2005  21:30:01 WIB

------------------------------------------------------

  
Selain ancaman kenaikan harga BBM yang oleh beberapa analis diperkirakan mencapai dua kali lipat, pada kuartal ke empat 2004 para vendor antivirus sedang ketar ketir menantikan munculnya virus yang mampu menyebar melalui gambar JPEG. Ya, anda tidak salah dengar, jika selama ini komputer "hanya" dapat terinfeksi virus jika menjalankan eksekutabel (.exe; .bat; .scr; .pif; .com; .vbs dst) dan tidak pernah ada orang yang terinfeksi virus karena melihat file gambar, maka tidak lama lagi anda akan terinfeksi virus "hanya" dengan mengakses file gambar. Celakanya, dalam pengetesan yang dilakukan oleh Vaksincom beserta rekan Bonet, POC (Proove of Concept) dari virus tersebut mampu beraksi hanya dengan preview gambar JPEG yang dieksploitasi melalui Windows Explorer.

 

GDI+ JPEG Vulnerability

-----------------------

Biang keladi permasalahan ini terletak pada ditemukannya celah keamanan pada GDI+, yang seperti kita ketahui GDI+ (Graphics Device Interface) ini merupakan komponen yang digunakan oleh software Microsoft untuk memproses file JPEG. JPEG (Joint Photographic Experts Group) merupakan format kompresi gambar yang sangat populer digunakan di internet untuk menampilkan gambar / foto yang terkompresi dengan kualitas yang sangat baik. Lebih detilnya, masalahnya terletak pada cara GDI+ menghandle file JPEG dimana jika pada Comment Section yang seharusnya dimasukkan value 2, tetapi jika direkayasa dan diganti dengan angka 0 atau 1 akan terjadi Buffer Overrun. Pada saat buffer overrun inilah komputer menjadi lemah dan dapat dikelabui untuk menjalankan program yang telah dipersiapkan terlebih dahulu.

 

Proove of Concept (POC) telah beredar di internet

-------------------------------------------------

Menurut pemantauan Vaksin.com, file JPEG yang mengandung POC dari eksploitasi celah keamanan ini telah ditemukan dan sudah beredar di internet. Pada pengetesan yang kami lakukan pada file JPEG yang telah direkayasa dan memiliki kemampuan eksploitasi GDI+ JPEG vulnerability tersebut terbukti dapat menimbulkan Buffer Overrun pada Internet Explorer 6.0 yang tidak di patch. Bahkan ada hal yang cukup mengejutkan dimana pada saat file tersebut selesai didownload dan diakses melalui Windows Explorer dengan settingan view tumbnail ternyata kondisi Buffer Overrun juga terjadi pada aplikasi Windows Explorer tanpa perlu melakukan klik ganda pada file JPEG tersebut. Karena itu, Vaksin.com menyarankan kepada para pengguna internet untuk tidak lupa melakukan patch pada OS Windows anda karena Windows Explorer menggunakan komponen GDI+ Operating System.

Menurut pengamatan melalui Hex Editor (lihat Gambar 1), ternyata file JPEG yang direkayasa ini memanfaatkan kelemahan pada JPEG COM (comment section), dimana nilai dari field JPEG COM ini adalah 2 byte dan nilai minimum dari field ini adalah 2 sehingga jika ada file JPEG yang memiliki JPEG COM field 1 atau 0 akan mengakibatkan Buffer Overrun.

 

 

Karena itu, untuk mendeteksi file JPEG yang mengandung eksploitasi ini secara dini, Administrator dapat melakukan pemantauan atas semua file JPEG masuk dan memiliki JFIF value ff fe 00 00 dan ff fe 00 01 dan memblok file tersebut agar tidak sampai dijalankan oleh windows.

 

Skenario serangan yang mungkin terjadi

--------------------------------------

Seperti kita ketahui, GDI+ merupakan komponen yang sangat banyak digunakan oleh OS Windows dan Aplikasi di bawah OS Windows (baik buatan Microsoft maupun non Microsoft) seperti Windows XP, Windows 2000 dan WIndows 2003 dan aplikasi Windows seperti MS Office XP, MS Office 2003, IE 6 (termasuk Outlook). Celakanya, patching yang dilakukan tidak cukup hanya dilakukan pada OS saja atau aplikasi saja melainkan harus dilakukan pada OS dan aplikasi. Dengan kata lain, meskipun anda telah melakukan patching atas Windows XP namun tidak melakukan patching pada MS Office dan anda membuka dokumen MS Word yang mengandung file JPEG exploit komputer anda tetap akan mengalami Buffer Overrun. Sebaliknya jika anda sudah melakukan patching atas Aplikasi anda dan lupa mempatch Operating System, komputer anda tetap akan mengalami Buffer Overrun jika komponen GDI+ pada OS digunakan untuk mengakses file JPEG Exploit antara lain jika anda melakukan preview Tumbnail file menggunakan Windows Explorer. Untuk informasi lengkap mengenai patching silahkan akses http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx.

 

Adapun skenario serangan yang mungkin terjadi adalah sebagai berikut :

 

  1. File JPEG exploit dimasukkan sebagai lampiran dalam email dan akan berjalan jika dilakukan klik ganda. Biasanya hal ini akan disertai rekayasa sosial untuk mengelabui penerima email agar menjalankan lampiran email tersebut, apakah dijanjikan gambar artis, gambar porno atau gambar lain yang menarik hati untuk di lihat.

  2. File JPEG exploit dimasukkan dalam body email dalam bentuk HTML file ini akan secara otomatis dijalankan ketika disorot (preview) oleh Outlook tanpa perlu melakikan klik.

  3. File JPEG exploit dimasukkan ke website dengan sasaran setiap pengunjung website.

  4. File JPEG exploit dimasukkan ke dalam dokumen MS Office baik ke dalam file MS Word, MS Excel atau Powerpoint dan file MS Office tersebut dapat dikirimkan melalui berbagai macam cara, baik melalui email, website, download ftp, Kazaa, network sharing, Messenger etc.

 

GDI + Detection tools

---------------------

Tanggapan Microsoft atas celah keamanan JPEG exploit ini cukup cepat, selain telah menyiapkan seluruh patch untuk semua OS dan aplikasi, Microsoft juga menyediakan secara gratis tools untuk mendeteksi semua aplikasi buatan Microsoft yang terinstal dalam komputer dan menggunakan komponen GDI+, adapun lokasi download untuk Microsoft GDI+ Detection Tools dapat di download pada alamat website : http://support.microsoft.com/default.aspx?scid=kb;EN-US;873374. Masalah utama dari tools buatan Microsoft adalah tools ini hanya mendeteksi aplikasi buatan Microsoft dan tidak melakukan deteksi atas aplikasi pihak ketiga non Microsoft, dimana seperti kita ketahui cukup banyak aplikasi pihak ke tiga yang mungkin menggunakan komponen GDI+ ini dalam mengakses file JPEG. Karena itu kita patut berterimakasih bahwa masih SANS Institute (pemilik Internet Storm Center) yang perduli atas hal ini dan menyediakan tools GDI Scan yang dapat anda download di http://isc.sans.org/gdiscan.php. Selain adanya tambahan fitur untuk memindai aplikasi pihak ke tiga yang mengandung GDI+ ini,  tampilan dari pemindai GDI Scan ini cukup baik dan juga tersedia pemindai khusus yang dapat berjalan pada DOS.

 

Satu hal yang cukup memprihatinkan jika virus yang mengeksploitasi GDI+ JPEG Vulnerability ini berhasil diciptakan selain karena populernya format JPEG ini di internet adalah suatu fakta dimana banyak program antivirus yang meloloskan semua file JPEG dari pemantauan dan tidak melakukan scan secara default seperti yang dilakukan pada eksekutable (.com / .bat / .exe / .scr / .vbs etc) karena selama ini tidak ada virus yang berhasil menyebar melalui file JPEG (kecuali virus konsep Perun yang gagal menyebar karena membutuhkan beberapa kondisi khusus untuk dapat mengaktifkan dirinya melalui JPEG). Sebagai catatan, selain JPEG, file yang dianggap "tidak berdosa" seperti MPEG atau AVI juga dikecualikan dari kecurigaan sehingga secara default tidak discan. Adapun alasan utama dari masalah ini adalah guna meningkatkan efisiensi dan kecepatan dari program antivirus tersebut. Karena itu, Vaksincom menyarankan kepada para pengguna internet untuk selalu awas dan jangan terlena. Apa belum terjadi di masa lalu bukan berarti tidak mungkin terjadi, bahkan sejarah virus menunjukkan kenyataan yang terbalik karena pembuat virus selalu mencari cara-cara baru untuk menyebarkan dirinya dan biasanya cara tersebut tidak terduga.

    

/* ------------------------------|EOF|------------------------------ */

 

   � Back

� WWW.SPYROZONE.TK �