"Nieuwe IE is 7e hemel voor spywareverspreiders"
Microsoft heeft in Internet Explorer 7 allerlei beveiligingsmaatregelen doorgevoerd, zoals "ActiveX opt-in", "add-on management", "phishing filter" en nog meer. Ondanks al deze verbeteringen is Internet Explorer nog steeds hemels voor spyware schrijvers, zo waarschuwt de Israelische beveiligingsonderzoeker Aviv Raff.
De nieuwe Microsoft browser is namelijk kwestbaar voor DLL-load hijacking. Als IE7 wordt gestart laadt het verschillende DLL bestanden. Bij het laden van sommige bestanden wordt niet het volledige pad van het DLL bestand gegeven, waardoor Windows dit bestand op de computer van de gebruiker zoekt.
Vandaag de dag herkennen de meeste beveiligingsoplossingen aanpassingen van de start map en registrer sleutels, om zo te voorkomen dat malware tijdens het starten van de machine geladen wordt.
Om deze detectie te omzeilen hoeft een aanvaller alleen een kwaadaardig DLL bestand in een van de PATCH directories te plaatsen, zoals bijvoorbeeld op het bureaublad. De volgende keer dat de gebruiker IE7 start, draait de browser de code van de aanvaller, in plaats van het originele DLL bestand. Een aanvaller kan het DLL bestand verbergen waardoor gebruikers die niet op hun desktop zien, aangezien de meeste mensen niet hebben ingesteld dat verborgen bestanden getoond worden.
Volgens Microsoft maakt het niet zoveel uit, als een aanvaller namelijk een DLL op de machine kan plaatsen, dan heeft die toch al controle over het systeem. Volgens Raff is dit waar, maar kan het lek er toch voor zorgen dat spyware schrijver automatisch code kunnen uitvoeren, ook al is er beveiligingssoftware geinstalleerd.
Ziehier een stukje antwoord van Roger A. Grimes op Full-Disclosure:
"The PATH environment variable doesn't include the user's desktop by
default. There is a close tie-in between Explorer.exe and Iexplore.exe
involving the desktop, and there are tricks you can play to get desktop
items to execute instead of IE stuff, but the PATH statement itself doesn't
include the desktop by default.
So, if you're statement is accurate that malware would need to be placed
in a directory identified by the PATH statement, we can relax because that
would require Administrator access to pull off. Admin access would be
needed to modify the PATH statement appropriately to include the user's
desktop or some other new user writable location or Admin access would
be needed to copy a file into the locations indicated by the default PATH
statement."
Net zoals die ellende met die ghosted links, toen met w98?
1) het kwetsbaarheidsvenster aanzienlijk vergroot door al die open sites
met die grouped tabs en quick tabs techniek. Zodra iedereen die quick
tabs en grouped tabs ontdekt...gaat iedereen er gebruik van maken. Er
worden dan automatisch veel meer sites geconnected en bekeken. Je
gaat ze verzamelen en hoppa alles in een keer open en je wordt steeds
luier.
2) Rss Feeds XML en automatically download attached documents?
PARDON????
Aan de ene kant maken ze het dicht en aan de achterkant creeeren ze weer
extra problemen.
gewoon een slecht ontworpen product is, die *verdient*
versie 7, met alle problemen van dien.
Wie bij versie 6 nog niet door heeft dat Internet Explorer
gewoon een slecht ontworpen product is, die *verdient*
versie 7, met alle problemen van dien.
De wereld is veel mooier NA sesamstraat hoor, heb je vast iets om naar uit
te kijken.
compartimentalisatie toepassen om kwetsbaarheden te managen.
Kan met OS en browsers....
digitaal ondertekend zijn? Of wordt een kwaadaardige DLL
gewoon uitgevoerd, zonder dat de digitale handtekening wordt
gecontroleerd? Ben benieuwd naar een reactie in deze.
voor DLL-load hijacking. Als IE7 wordt gestart laadt het
verschillende DLL bestanden. Bij het laden van sommige
bestanden wordt niet het volledige pad van het DLL bestand
gegeven, waardoor Windows dit bestand op de computer van de
gebruiker zoekt.
wel het volledig pad opgeeft bij het laden van dll's, dan
kan je zorgen dat malafide dll's geladen worden terwijl
Windows anders z'n eigen (hopelijk) legitieme dll's
gebruikt. En juist in het mogelijk kunnne laden van malafide
dll's, schuilt denk ik het gevaar.
Wie bij versie 6 nog niet door heeft dat Internet Explorer
gewoon een slecht ontworpen product is, die *verdient*
versie 7, met alle problemen van dien.
Hahaha...wat een wijsheid van deze Anoniem. ROFLOL.
ook alweer....... Oh ja, die brakke browser van
Mickey$oft.......
Ik gebruik al jaren FireFox, nooit problemen mee.
onkel Bill,zit natuurlijk wel in deze Site ingebakken.
Immers allemaal weten ze hier van de hoed en de rand.
Dus MS is out en Linux is in, plus FF .
Maar de consument heeft hier geen weet van,want dat gaat anders
bij een aankoop.Zoiets van ,He Piet kijk eens een PC in de reclame
met XPHome er op en ook nog een virus programma voor maar €499.
Zo gaat dat meestal,en daarom zal Billie Boy stinkend rijk blijven.
Maar als er problemen komen,dan komen ze naar hier.
Want als MS je moet helpen,dan kan je lang bellen.
Plus als er telefonish iets gezegd wordt,snappen ze het niet.
Dus zolang MS bestaat moet Dit Forum op de hoogte blijven van
alles uit de keuken van Microsoft.
Op een andere Site was iemand die Windows 2000 Pro met
verve verdedigde als de meest stabiele programma"s van Windows.
Tja je zal maar tevreden zijn,dan is het simpel.
consument heeft hier geen weet van
Die zeggen zelfs dat FF veiliger is. Denk dat het publiek
langzaamaan Firefox-bewust aan het worden is. Als dat
zegmaar een trend is, dan zie ik het aandeel Opera ook nog
wel stijgen.
Normale gebruikers kunnen daar niet schrijven dus de kans is groot dat het de juiste dll is. Indien er zomaar.dll, dus zonder pad, dan wordt het PATH afgelopen. Hier kunnen directories tussen zitten waar een normale gebruiker wel schrijfrechten toe heeft. Zo kun je dus zomaar.dll vervangen voor een malafide exemplaar.
c:windowssystem32zomaar.dll weet je zeker dat de
zomaar.dll uit de windows system32 directory geladen
wordt.
verwijzen naar c:windowssystem32zomaar.dll, wat op
hetzelfde neer zou komen als het niet opgeven van een pad,
waardoor Windows het (uiteindelijk) zoekt in die
system32-map. Maar als je een ander pad opgeeft, naar
bijvoorbeeld het bureaublad van de gebruiker, dan kan je dus
verkeerde dll's laten laden met alle gevolgen vandien.
Dat is in elk geval hoe ik dit lees: 'deze detectie te
omzeilen hoeft een aanvaller alleen een kwaadaardig DLL
bestand in een van de PATCH directories te plaatsen, zoals
bijvoorbeeld op het bureaublad'.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
