Microsoft Help en Support geeft hackers toegang tot PC
Onderzoekers van beveiligingsbedrijf Symantec waarschuwen voor een nieuwe aanval die hackers systemen via de Microsoft Help and Support Center Viewer laat overnemen. Het gaat om een variant van een bekende aanval. De nieuwe techniek laat aanvallers direct kwaadaardige code op het systeem van het slachtoffer uitvoeren, terwijl dat eerder via deze lekken niet mogelijk was. Via een kwetsbaar ActiveX control weten de aanvallers een kwaadaardig bestand op de computer van de gebruiker te krijgen. In het verleden was dit ook al mogelijk, maar waren de opties voor het uitvoeren van het bestand beperkt.
Men kan het bestand in de Opstarten map plaatsen of via social engineering proberen de gebruiker tot het openen te verleiden. Dit zorgt voor een dilemma, omdat de aanvaller moet wachten totdat het slachtoffer zijn machine herstart of zelf het bestand opent, wat de kans op een mislukking vergroot. Die zorgen neemt de Microsoft Help and Support Center Viewer applicatie weg. Die kan namelijk via "hcp://" links het script van de aanvaller uitvoeren, die dan het net geplaatste kwaadaardige bestand aanroept.
Administrator
De aanval bestaat uit verschillende stappen. De eerste stap is het maken van een kwaadaardige pagina die via een ActiveX lek de malware op de computer van het slachtoffer plaatst. Bezoekt het slachtoffer deze pagina, dan wordt niet alleen het bestand geplaatst, maar tevens de HTML bestanden van het Help en Support Center vervangen door een script. Zijn deze stappen uitgevoerd, dan stuurt de aanvaller de browser van het slachtoffer door naar een hcp:// link. De Microsoft Help en Support Center viewer, die "hcp://" links verwerkt, opent het script en zo het bestand.
"Wat deze aanval opmerkelijk maakt, is dat het Help en Support Center het script in de context van de lokale gebruiker kan uitvoeren, waardoor aanvallers ook ActiveX controls die niet "Safe for Scripting" zijn kunnen aanroepen," aldus Patrick Fitzgerald. De aanval werkt alleen als de gebruiker met administrator rechten is ingelogd, wat zeker bij Windows XP gebruikers meestal het geval is. Dit YouTube filmpje demonstreert de aanval.
Reacties (26)
Mooie exploit, ben benieuwd wanneer die ActiveX gepatched gaat worden... Doet symantec al langer step by step uitleg geven over exploits die ze gevonden hebben?
23-10-2008, 11:58 door
Eerde
De aanval werkt alleen als de gebruiker met administrator rechten is ingelogd, wat zeker bij Windows XP gebruikers meestal het geval is.
Daar gaan we weer...____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
sure :>
sure :>
@Eerde
Ik lees regelmatig commentaren van jou. Ik stoor me aan jou opmerkingen. Waarom wil je altijd het vervelende mannetje uithangen? Heb jij niet iets in je leven waar je aandacht naar uit kan gaan? Je bent een vervuiling voor Security.nl.
Ik lees regelmatig commentaren van jou. Ik stoor me aan jou opmerkingen. Waarom wil je altijd het vervelende mannetje uithangen? Heb jij niet iets in je leven waar je aandacht naar uit kan gaan? Je bent een vervuiling voor Security.nl.
23-10-2008, 14:36 door
Eerde
Door AnoniemGelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
sure :>
ensure :>
De eerste stap is het maken van een kwaadaardige pagina die via een ActiveX lek de malware op de computer van het slachtoffer plaatst.
En hoe zou dat dan in zijn werk moeten gaan bij mij ?____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
Eerde als jij niks zinnigs aan het verhaal hebt toe te voegen , houd dan liever je mond.
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
23-10-2008, 16:14 door
Eerde
Door AnoniemEerde als jij niks zinnigs aan het verhaal hebt toe te voegen , houd dan liever je mond.
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
Als je wat te mekkeren hebt anoniem, log dan eerst even in en let op je spelling & punctuatie...(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
Ik voeg wel degelijk iets toe b.v. dat je geen ActiveX hoeft te gebruiken en daardoor zeer veel kwetsbaarheden misloopt. Verder wijs ik er subtiel op dat 99,999% van de window$ problemen niet voorkomen bij GNU/Linux.
____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
23-10-2008, 16:20 door
SirDice
De link naar https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=171#M171 geeft de melding:
The message you are trying to access has been deleted. Please update your bookmarks.
Als ik hier kijk:
https://forums.symantec.com/syment/blog?blog.id=vulnerabilities_exploits
Zie ik nergens dit bericht.
The message you are trying to access has been deleted. Please update your bookmarks.
Als ik hier kijk:
https://forums.symantec.com/syment/blog?blog.id=vulnerabilities_exploits
Zie ik nergens dit bericht.
23-10-2008, 16:36 door
Lamaar
Door Eerde
____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
Daar gaat Eerde weer...De aanval werkt alleen als de gebruiker met administrator rechten is ingelogd, wat zeker bij Windows XP gebruikers meestal het geval is.
Daar gaan we weer...____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
23-10-2008, 16:37 door
Eerde
Zou niet de eerste keer zijn SirFUD, diverse malen heb ik dergelijke linken naar security zogenaamd melding ernstig probleem opgezocht en ook niet kunnen vinden.
De redactie van www.security.nl doet dat enkel om klikken te genereren en reclame te maken voor de wc-eend piepeltjes, waar ze nu eenmaal dik aan verdienen en natuurlijk door gestiekt worden ;)
De perverse bonussen en kerstpakketen komen er weer aan immers.
Business as usual, dus....
De redactie van www.security.nl doet dat enkel om klikken te genereren en reclame te maken voor de wc-eend piepeltjes, waar ze nu eenmaal dik aan verdienen en natuurlijk door gestiekt worden ;)
De perverse bonussen en kerstpakketen komen er weer aan immers.
Business as usual, dus....
23-10-2008, 16:38 door
Eerde
Door Lamaar
En alweer heb ik gelijk :)Door Eerde
____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
Daar gaat Eerde weer...De aanval werkt alleen als de gebruiker met administrator rechten is ingelogd, wat zeker bij Windows XP gebruikers meestal het geval is.
Daar gaan we weer...____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
23-10-2008, 16:39 door
Lamaar
Door SirDiceDe link naar https://forums.symantec.com/syment/blog/article?blog.id=vulnerabilities_exploits&message.id=171#M171 geeft de melding:
The message you are trying to access has been deleted. Please update your bookmarks.
Als ik hier kijk:
https://forums.symantec.com/syment/blog?blog.id=vulnerabilities_exploits
Zie ik nergens dit bericht.
Dat geeft te denken wat het betrouwbaarheidsgehalte van dit bericht betreft. En natuurlijk kakelt Eerde als een kip zonder kop zonder ook maar even te controleren of het wel klopt. Nee, Eerde ziet zijn kans weer schoon om te schelden op Microsoft.The message you are trying to access has been deleted. Please update your bookmarks.
Als ik hier kijk:
https://forums.symantec.com/syment/blog?blog.id=vulnerabilities_exploits
Zie ik nergens dit bericht.
Overigens, redactie, wees nou ook eens kritisch op je berichtgeving als het zo leuk tegen Windows gericht is. Dit riekt naar Windows bashen.
23-10-2008, 16:39 door
Lamaar
Door Eerde
Ik voeg wel degelijk iets toe b.v. dat je geen ActiveX hoeft te gebruiken en daardoor zeer veel kwetsbaarheden misloopt. Verder wijs ik er subtiel op dat 99,999% van de window$ problemen niet voorkomen bij GNU/Linux.
____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
Leer jij dan eerst eens hoe je Windows schrijft.Door AnoniemEerde als jij niks zinnigs aan het verhaal hebt toe te voegen , houd dan liever je mond.
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
Als je wat te mekkeren hebt anoniem, log dan eerst even in en let op je spelling & punctuatie...(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
Ik voeg wel degelijk iets toe b.v. dat je geen ActiveX hoeft te gebruiken en daardoor zeer veel kwetsbaarheden misloopt. Verder wijs ik er subtiel op dat 99,999% van de window$ problemen niet voorkomen bij GNU/Linux.
____________________________________________________________________
Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
23-10-2008, 17:20 door
Eerde
Lamaar je bent mentaal verdwaald !
23-10-2008, 18:10 door
prikkebeen
Was het niet zo dat je dat help gedoe uit kunt zetten bij de services van Windows? En ben je er dan meteen helemaal niet meer vatbaar voor?
23-10-2008, 19:12 door
SirDice
Door EerdeZou niet de eerste keer zijn SirFUD, diverse malen heb ik dergelijke linken naar security zogenaamd melding ernstig probleem opgezocht en ook niet kunnen vinden.
Buiten deze link is me dat anders nog nooit overkomen CryWolf...De redactie van www.security.nl doet dat enkel om klikken te genereren en reclame te maken voor de wc-eend piepeltjes, waar ze nu eenmaal dik aan verdienen en natuurlijk door gestiekt worden ;)
De perverse bonussen en kerstpakketen komen er weer aan immers.
Volgens mij wordt het tijd voor je om je aluminium hoedje te vervangen... Jij ziet werkelijk overal spoken..De perverse bonussen en kerstpakketen komen er weer aan immers.
23-10-2008, 19:22 door
SirDice
Door prikkebeenWas het niet zo dat je dat help gedoe uit kunt zetten bij de services van Windows? En ben je er dan meteen helemaal niet meer vatbaar voor?
Als daarmee ook die protocol handler (hcp://) verdwijnt wel..Overigens is de reden dat er administrative rechten nodig zijn het feit dat ze sysinfomain.htm overschrijven (zeg maar de "home" page van het Help & Support Center).
De bug die misbruikt wordt is in augustus gepatched:
http://www.microsoft.com/technet/security/bulletin/ms08-041.mspx
Uiteraard helpt het uitschakelen van Active-X of een browser gebruiken die geen Active-X ondersteunt ook..
Door AnoniemEerde als jij niks zinnigs aan het verhaal hebt toe te voegen , houd dan liever je mond.
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
je wilt niet weten hoevaak ik mij al in heb moeten houden, maar binnenkort hoeft dat niet meer, want dat kom ik hier niet meer, voor totaal ongefundeerde vervelende herhalio reacties kan ik ook prima terecht op de digitale vuilnisverzamelaars geenstijl en fok!(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
het is toch niet best dat je sommige artikelen gewoon niet wil lezen omdat je weet dat je er weer voor de zoveelste keer een stuk dom geblaat bij moet krijgen om de overige serieuze reacties te kunnen lezen? ik bedankt daar voor, ook het linken wat de redactie vast wel opgevallen zal zijn gaat dan drastisch afnemen...
niet als dreigement bedoelt, maar een beetje site zou iets van een moderator moeten hebben die dit soort dingen voorkomt, en waar nodig bijstuurt en evt ingrijpt. gebeurt dat niet dan is het einde oplaatst zoek. onzinreacties halen niet alleen de sfeer geheel naar beneden, een website die dat tolereert word uiteindelijk als gelijk aan die reacties gezien.
ik zou graag een standpunt van de redactie zelf willen horen eigenlijk, blijven deze reacties staan omdat de redactie het er mee eens is? of door het recht op een eigen mening, of is er gewoon niet genoeg tijd om te modereren?
ik hoor graag van u!
23-10-2008, 20:50 door
cyberpunk
ActiveX doet hier nix in mijn Fx (met NoScript). Daar heb ik geen Linux OS voor nodig...
mbt Gelukkig gebruik ik open source in de vorm van GNU/Linux, mij kan nix gebeuren !
Hoogmoed komt altijd voor de val
bash
Hoogmoed komt altijd voor de val
bash
Door cyberpunkActiveX doet hier nix in mijn Fx (met NoScript). Daar heb ik geen Linux OS voor nodig...
Dus je hebt twee subprogramma's lopen: ActiveX en Noscript dat ActiveX weer uitzet.
Word je computer vast snel van, handig!
24-10-2008, 09:20 door
Lamaar
Door SirDice
Als ik het zo lees, die onzinteksten van Eerde, heeft hij zelf een besmetting opgelopen. Linux is in zijn hersens geslagen. Ik reageer maar niet meer, want het wordt nou echt onzin. Het lijkt wel of hij dement aan het worden is.Door EerdeZou niet de eerste keer zijn SirFUD, diverse malen heb ik dergelijke linken naar security zogenaamd melding ernstig probleem opgezocht en ook niet kunnen vinden.
Buiten deze link is me dat anders nog nooit overkomen CryWolf...De redactie van www.security.nl doet dat enkel om klikken te genereren en reclame te maken voor de wc-eend piepeltjes, waar ze nu eenmaal dik aan verdienen en natuurlijk door gestiekt worden ;)
De perverse bonussen en kerstpakketen komen er weer aan immers.
Volgens mij wordt het tijd voor je om je aluminium hoedje te vervangen... Jij ziet werkelijk overal spoken..De perverse bonussen en kerstpakketen komen er weer aan immers.
24-10-2008, 11:48 door
SirDice
Door Anoniem
Dus je hebt twee subprogramma's lopen: ActiveX en Noscript dat ActiveX weer uitzet.
Word je computer vast snel van, handig!
Errr... Firefox ondersteunt geen Active-X..Door cyberpunkActiveX doet hier nix in mijn Fx (met NoScript). Daar heb ik geen Linux OS voor nodig...
Dus je hebt twee subprogramma's lopen: ActiveX en Noscript dat ActiveX weer uitzet.
Word je computer vast snel van, handig!
25-10-2008, 02:07 door
Rene V
Door Eerde
En hoe zou dat dan in zijn werk moeten gaan bij mij ?
En hoe zou dat dan in zijn werk moeten gaan bij mij ?
En hoe zou dat dan bij mij moeten? Ondanks dat ik XP gebruik?
27-10-2008, 10:36 door
Redactie
Door Anoniem
het is toch niet best dat je sommige artikelen gewoon niet wil lezen omdat je weet dat je er weer voor de zoveelste keer een stuk dom geblaat bij moet krijgen om de overige serieuze reacties te kunnen lezen? ik bedankt daar voor, ook het linken wat de redactie vast wel opgevallen zal zijn gaat dan drastisch afnemen...
niet als dreigement bedoelt, maar een beetje site zou iets van een moderator moeten hebben die dit soort dingen voorkomt, en waar nodig bijstuurt en evt ingrijpt. gebeurt dat niet dan is het einde oplaatst zoek. onzinreacties halen niet alleen de sfeer geheel naar beneden, een website die dat tolereert word uiteindelijk als gelijk aan die reacties gezien.
ik zou graag een standpunt van de redactie zelf willen horen eigenlijk, blijven deze reacties staan omdat de redactie het er mee eens is? of door het recht op een eigen mening, of is er gewoon niet genoeg tijd om te modereren?
ik hoor graag van u!
Door AnoniemEerde als jij niks zinnigs aan het verhaal hebt toe te voegen , houd dan liever je mond.
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
je wilt niet weten hoevaak ik mij al in heb moeten houden, maar binnenkort hoeft dat niet meer, want dat kom ik hier niet meer, voor totaal ongefundeerde vervelende herhalio reacties kan ik ook prima terecht op de digitale vuilnisverzamelaars geenstijl en fok!(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
het is toch niet best dat je sommige artikelen gewoon niet wil lezen omdat je weet dat je er weer voor de zoveelste keer een stuk dom geblaat bij moet krijgen om de overige serieuze reacties te kunnen lezen? ik bedankt daar voor, ook het linken wat de redactie vast wel opgevallen zal zijn gaat dan drastisch afnemen...
niet als dreigement bedoelt, maar een beetje site zou iets van een moderator moeten hebben die dit soort dingen voorkomt, en waar nodig bijstuurt en evt ingrijpt. gebeurt dat niet dan is het einde oplaatst zoek. onzinreacties halen niet alleen de sfeer geheel naar beneden, een website die dat tolereert word uiteindelijk als gelijk aan die reacties gezien.
ik zou graag een standpunt van de redactie zelf willen horen eigenlijk, blijven deze reacties staan omdat de redactie het er mee eens is? of door het recht op een eigen mening, of is er gewoon niet genoeg tijd om te modereren?
ik hoor graag van u!
We hebben het even aangekeken, maar zullen actie ondernemen.
Door Redactie
We hebben het even aangekeken, maar zullen actie ondernemen.
iig al bedankt voor u reactie...Door Anoniem
het is toch niet best dat je sommige artikelen gewoon niet wil lezen omdat je weet dat je er weer voor de zoveelste keer een stuk dom geblaat bij moet krijgen om de overige serieuze reacties te kunnen lezen? ik bedankt daar voor, ook het linken wat de redactie vast wel opgevallen zal zijn gaat dan drastisch afnemen...
niet als dreigement bedoelt, maar een beetje site zou iets van een moderator moeten hebben die dit soort dingen voorkomt, en waar nodig bijstuurt en evt ingrijpt. gebeurt dat niet dan is het einde oplaatst zoek. onzinreacties halen niet alleen de sfeer geheel naar beneden, een website die dat tolereert word uiteindelijk als gelijk aan die reacties gezien.
ik zou graag een standpunt van de redactie zelf willen horen eigenlijk, blijven deze reacties staan omdat de redactie het er mee eens is? of door het recht op een eigen mening, of is er gewoon niet genoeg tijd om te modereren?
ik hoor graag van u!
Door AnoniemEerde als jij niks zinnigs aan het verhaal hebt toe te voegen , houd dan liever je mond.
(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
je wilt niet weten hoevaak ik mij al in heb moeten houden, maar binnenkort hoeft dat niet meer, want dat kom ik hier niet meer, voor totaal ongefundeerde vervelende herhalio reacties kan ik ook prima terecht op de digitale vuilnisverzamelaars geenstijl en fok!(Heb me ingehouden wilde wat anders typen met kans dat het dan niet geplaats word.)
het is toch niet best dat je sommige artikelen gewoon niet wil lezen omdat je weet dat je er weer voor de zoveelste keer een stuk dom geblaat bij moet krijgen om de overige serieuze reacties te kunnen lezen? ik bedankt daar voor, ook het linken wat de redactie vast wel opgevallen zal zijn gaat dan drastisch afnemen...
niet als dreigement bedoelt, maar een beetje site zou iets van een moderator moeten hebben die dit soort dingen voorkomt, en waar nodig bijstuurt en evt ingrijpt. gebeurt dat niet dan is het einde oplaatst zoek. onzinreacties halen niet alleen de sfeer geheel naar beneden, een website die dat tolereert word uiteindelijk als gelijk aan die reacties gezien.
ik zou graag een standpunt van de redactie zelf willen horen eigenlijk, blijven deze reacties staan omdat de redactie het er mee eens is? of door het recht op een eigen mening, of is er gewoon niet genoeg tijd om te modereren?
ik hoor graag van u!
We hebben het even aangekeken, maar zullen actie ondernemen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
