Sehr kritische Lücke in ICQ 6 entdeckt: Hacken für jedermann + Schadcodeausführung

the ubm · 05.03.2008

http://www.zdnet.de/security/news/0,39029460,39187817,00.htm

Nicht nur, dass sich beliebiger Code mit ICQ 6 ausführen lässt, nein man braucht nur ICQ 5.1 und die magische Nummer, die sich in einem der ZDnet Links befindet und schon ist das ganze ICQ 6 unbrauchbar. Die CPU-Auslastung geht auf 100 % hoch. Killt man es dann mit dem Taskmanager und startet es erneut, geht das Fenster wieder mit dieser Nachricht auf.

Ich habe ICQ 6 schon immer gehasst. Allein wegen der vielen Links, die es nicht korrekt öffnen möchte.

Es sollte jedem zu denken geben, wie leicht sein ICQ 6 in die Knie gezwungen werden kann. Finger weg davon und zu einem sinnvollen Programm wie ICQ 2003b Pro wechseln.

the ubm · 05.03.2008

Das ganze findet sich sogar auf heise
http://www.heise.de/newsticker/meldung/104268

Kritische Lücke in Instant Messenger ICQ

Mit manipulierten Nachrichten ist es möglich, den Instant-Messenger ICQ 6 zum Absturz zu bringen. Ursache des Problems ist eine Format-String-Schwachstelle bei der Verarbeitung von HTML-Messages, die Format-String-Specifier wie %020000000s enthalten. Nach Einschätzung der Sicherheitsdienstleister Secunia und FrSIRT lässt sich die Lücke auch zum Einschleusen und Ausführen von Code ausnutzen. Ob es bereits einen Exploit gibt oder die Annahme auf eigenen Analysen beruhen, schreiben sie nicht.
Anzeige

Betroffen ist die Version ICQ 6 Build 6043. Andere Versionen enthalten den Fehler sehr wahrscheinlich auch. Ein Update gibt es noch nicht. Einen gewissen Schutz vor den Angriffen durch beliebige Personen bietet die Möglichkeit, nur Nachrichten von bekannten Kontakten zu akzeptieren und nicht näher bekannte Kontakte aus seiner Liste zu streichen. Nachrichten unbekannter Personen sollte man dann verwerfen.

Der ursprüngliche Entdecker des Fehlers erinnert im Rahmen seines Blog-Eintrags an eine seit Mitte des letzten Jahres bekannte, aber bislang noch ungepatche Schwachstelle im Internet Explorer 6 und 7, die zum Absturz des Browsers führt. Dazu genügt in einem HTML-Dokument die Zeile:

<style>*{position:relative}</style><table><input></table>

Da ICQ für das Rendering von HTML-Nachrichten die Funktionsbibliotheken des Microsoft-Browsers benutzt, ist auch der Instant-Messenger an dieser Stelle verwundbar.

huehr · 06.03.2008

Wie kann man überhaupt das Programm ICQ benutzen?? Da bleibe ich lieber bei Miranda IM oder QIP oder sowas....

killerseegurke · 06.03.2008

dürfte die icq 6 zero day lücke sein oder? beschäftige mich schon länger damit und ist auch schon lange bekannt!

Coolcracker · 06.03.2008

killerseegurke schrieb:
dürfte die icq 6 zero day lücke sein oder? beschäftige mich schon länger damit und ist auch schon lange bekannt!

nein es ist nicht die zero day luecke.fuer die zero day luecke brauchst du miranda im mit icq plus modification und nen exploit (Denial of Service heist das glaub ich) und das exploit nutzt eine Sicherheitzluecke des IE6 und crasht somit icq 6.

Aber das ist mir neu.

haxor · 06.03.2008

killerseegurke schrieb:
dürfte die icq 6 zero day lücke sein oder? beschäftige mich schon länger damit und ist auch schon lange bekannt!

Bekannt ist sie schon länger (hatte in einigen Foren ebenfalls den PoC gelesen, bevor er auf Heise veröffentlich wurde), und eine Zero Day Lücke ist sie auch, aber es kann schlecht "die" Zero Day Lücke sein, denn das ist eine allgemeine Bezeichnung.

the ubm · 06.03.2008

Die Lücke mit dem gesendeten ZTer und dem HTML Code, war mir bereits bekannt. Neu war mir jedoch, dass man ICQ 6 mit der genannten Zeichenfolge (%020000000s) lahmlegen kann. Das bekommt nämlich jeder Depp mit seinem 5.1er hin. Miranda so zu modifizieren, dass man damit manipulierte ZTers senden kann, daran dürften viele scheitern.

Coolcracker · 06.03.2008

the ubm schrieb:
Die Lücke mit dem gesendeten ZTer und dem HTML Code, war mir bereits bekannt. Neu war mir jedoch, dass man ICQ 6 mit der genannten Zeichenfolge (%020000000s) lahmlegen kann. Das bekommt nämlich jeder Depp mit seinem 5.1er hin. Miranda so zu modifizieren, dass man damit manipulierte ZTers senden kann, daran dürften viele scheitern.

Ist das der crashcode (%020000000s)?Wenn ja werde ich mir nen test account zulegen und es ausprobieren.

the ubm · 06.03.2008

@Coolcracker: Heisemeldung lesen, dann weißt du bescheid.

BioaSharky · 07.03.2008

the ubm schrieb:
... Miranda so zu modifizieren, dass man damit manipulierte ZTers senden kann, daran dürften viele scheitern.

Wieso, ist doch erläutert, wie "tZer senden" in Miranda (ICQ Plus Mod) realisiert wird.

Coolcracker · 07.03.2008

the ubm schrieb:
@Coolcracker: Heisemeldung lesen, dann weißt du bescheid.

Also ja?Oder?Bingrad irgendwie verwirrt

Dragonelf · 07.03.2008

Also der String %020000000s ging nicht bei einem einzigen bei mir

Alle hatten ICQ 6 ohne weiterer Addons oder sonstiges, allerdings hat es bei keinem funktioniert.

Der erst vor kurzem gepostete String %o%f%f%l%i%n%e von dem User p2p aus dem Board raidrush http://board.raidrush.ws/showthread.php?t=386983&page=22

geht allerdings.

%o%f%f%l%i%n%e

Bei etwa 10 Leuten probiert, mit jedes mal dem Gleichen Ergebniss:

Nach ca 5 Sekunden können sie nichts mehr schreiben und haben sehr hohe CPU Auslastung, so dass ICQ geschlossen werden muss.

Das einzige was da dann hilft, ist der die History löschen bzw Neu installieren.

Falls man keine History bei der entsprechenden Person hat, die einem den Schadcode zu sendet geschieht nix.Einfach Icq neu starten und gut ist.

So far

Dragonelf

the ubm · 07.03.2008

Welchen Clienten hast du zum Schicken verwendet? Bei mir ging der %020000000s bis jetzt bei jedem. Ich habe von 2003b pro aus geschickt.

Dragonelf · 07.03.2008

Bis jetzt habe ich nur QIP benutzt

Der Client, mit dem du schickst sollte doch egal sein, solange er selbst durch diesen CODE nicht zum Absturz gebracht wird

Beim "Opfer" kommt das Gleiche an

Coolcracker · 08.03.2008

ich habe den crashcode mit 5.1 verschickt und nichts ist passiert bei beiden!!!!

the ubm · 09.03.2008

Also ich habe das jetzt extra mal ausprobiert. Diesen Code mit 5.1 an die Version 6 geschickt und diese hat es wieder zerlegt. Sobald ich es aufrufe kommt die Nachricht rechts unten, die CPU geht auf 100 % hoch und ICQ ist unbrauchbar.

Erst als ich mit einem Hexeditor die "Messages.mdb" bearbeitet habe (um nicht den kompletten Nachrichtenverlauf zu verlieren), konnte ich ICQ6 wieder verwenden.

amihandot · 10.03.2008

Wie jetzt...?
Mann muss einfach diesen oben genannten Code schicken...?

Oder hab ich einfach wieder keine Peilung für html und ich muss den erst irgendwie verpacken?

Grüße
ami

the ubm · 10.03.2008

Ja das Gefährliche daran ist, dass es ausreicht oben genannten Codes (%020000000s ; %o%f%f%l%i%n%e) zu verschicken, damit ICQ abstürzt. Dies bekommt nun wirklich jeder hin. Nur für die anderen Attacken musst du es anders "verpacken".

amihandot · 10.03.2008

Also bei mir selber funzt es auf jeden Fall nicht....
naja, aber gut, dass ich sowieso QIP nutze^^

Grüße
ami

Leo Atreides · 16.03.2008

also brauch man das jetz nur verschicken an jemanden der icq 6 hat und sein icq stürzt ab?

Sehr kritische Lücke in ICQ 6 entdeckt: Hacken für jedermann + Schadcodeausführung

the ubm

the ubm

huehr

killerseegurke

Coolcracker

haxor

the ubm

Coolcracker

the ubm

BioaSharky

Coolcracker

Dragonelf

the ubm

Dragonelf

Coolcracker

the ubm

amihandot

the ubm

amihandot

Leo Atreides

Sehr kritische Lücke in ICQ 6 entdeckt: Hacken für jedermann + Schadcodeausführung

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums