Windows Explorer caching of ZoneIDs

Einloggen | Ausloggen

Seite « 1 2

2. Windows Explorer caching of ZoneIDs

Description

Windows Explorer caches the result of ZoneID lookups. If a file is overwritten, Explorer does not properly update this cached information to reflect the new ZoneID. This allows spoofing of trusted or non-existant ZoneIDs by overwriting files with trusted or non-existent ZoneIDs.

The following steps illustrate the problem.

Copy notepad to a new file.
> copy c:\windows\notepad.exe test.exe
You may also use Explorer to copy the file.
Open test.exe in Explorer: no warning.
evil.exe is a file saved from an e-mail attachment and has ZoneID=3.
Check with your editor by opening "evil.exe:Zone.Identifier". It displays: ZoneID=3
Open evil.exe in Explorer: you will be warned.
Overwrite the copy of notepad.exe:
> copy evil.exe test.exe
test.exe:Zone.Identifier displays: ZoneID=3
Open test.exe in Explorer: no warning!
test.exe is launched without warning despite of its ZoneID=3. In the file properties, Explorer shows the correct notice about its origin, but for opening the file the old ZoneID-status is used.
Doublecheck: Kill the Explorer task, restart it and launch test.exe: you will be warned.

Attack vector

Exploiting this issue requires the ability to overwrite existing files which have a trusted or non-existant ZoneID. Right now there is no known way to achieve this in an attack mounted from the Internet.

Vendor status

heise Security has notified Microsoft about both issues on August 12. Microsoft Security Response Center responded:

"We have investigated your report, as we do with all reports, however in this case, we don't see these issues as being in conflict with the design goals of the new protections. We are always seeking improvements to our security protections and this discussion will certainly provide additional input into future security features and improvements, but at this time we do not see these as issues that we would develop patches or workarounds to address."

You find some personal thoughts about this response in the latest comment on heise Security: Microsoft: A matter of trust

« zurück 1 2

Themen-Forum Desktopsicherheit

Version zum Drucken | Per E-Mail versenden | Permalink: http://heise.de/-270548

Die heisec-Konferenz 2012

Mobile Security

Smartphone-Trojaner, gestohlene Geräte, abhörbare Funknetze, Daten in der Cloud - so meistern Sie die Herausforderungen

Topartikel

Microsofts Kampf gegen Bugs

Am 15. Januar 2012 jährte sich der Versand einer inzwischen berühmten E-Mail zum zehnten Mal: Bill Gates machte die Themen Sicherheit, Datenschutz und Verlässlichkeit von IT-Systemen zum obersten Ziel. Mehr…

Analyse von Apps für Windows Phone 7

Ein Tool hilft beim Entpacken und Dekompilieren der Smartphone-Apps, um eine detaillierte Sicherheitsanalyse zu ermöglichen. Mehr…

Das Jahr 2012: Rückblick durch die Glaskugel

Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. Mehr…

Alerts

Adobe Shockwave Player

Den Shockwave-Player bekommt man nur selten zu Gesicht. Dennoch sollte man ihn stets auf dem aktuellsten Stand halten, da er ein willkommenes Einfallstor für Angreifer ist. Mehr…

Horde

Bei einem Hackerangriff auf die FTP-Server des Groupware-Anbieters haben Unbekannte eine Backdoor in einige Installationspakete eingebaut. Der Angriff blieb vier Monate unbemerkt. Mehr…

Kritischer PHP-Bug in 5.3.9

Die PHP-Entwickler arbeiten gerade fieberhaft an der Beseitigung einer kritischen Sicherheitslücke in PHP, die sie selber erst durch einen Sicherheits-Patch eingeführt haben. Noch lässt sich die Tragweite nicht ganz abschätzen. Mehr…

Neueste Forenbeiträge:

„Der Kommentar“

Das Jahr 2012: Rückblick durch die Glaskugel Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2012. Mehr…

Facebooks Schutzbehauptung Endlich gibt Facebook zu, dass der Konzern die Daten über das Surf-Verhalten seiner Nutzer im Internet durchaus nutzt. Aber natürlich nur zu unserem Besten -- und wir sollen das bitteschön einfach mal glauben. Mehr…

Druckerhöhung Da die Banken bei der Sicherheit ihrer Webauftritte weiterhin schludern, wird es Zeit, dass sich höhere Stellen um das Problem kümmern. Mehr…

Bitte vergessen Der angebliche "digitale Radiergummi" ist eine Luftnummer - das Problem das er lösen soll ist jedoch real. Mehr…

Das Jahr 2011: Rückblick durch die Glaskugel Dank der redaktionseigenen Glaskugel präsentiert heise Security schon jetzt und wie immer exklusiv den ultimativen Jahresrückblick auf das vor uns liegende Jahr 2011. Mehr…

Dienste

News und Artikel

Service

Dienste