Google gehackt via Internet Explorer-lek
Aanvallers die Google en 33 andere bedrijven hackten, gebruikten een nieuw lek in Internet Explorer voor hun aanval. Deze week liet Google weten dat aanvallers toegang tot het bedrijfsnetwerk hadden gekregen. Naast de strenger wordende censuur reden voor de zoekgigant om te dreigen met een vertrek uit China. Volgens McAfee, dat de aanval Aurora noemt, zijn er in tegenstelling tot eerdere berichten geen aanwijzingen dat er een zero-day beveiligingslek in Adobe Reader is gebruikt. Eerder werd aangenomen dat de aanvallers via een lek in de populaire PDF-lezer waren binnengekomen. Toch houdt het beveiligingsbedrijf de mogelijkheid open dat het om een "cocktail" van zero-day lekken gaat. De naam Aurora is afkomstig van het bestandspad op de machine van de aanvallers dat ook aan twee van de gebruikte malware exemplaren werd toegevoegd.
Kroonjuwelen
McAfee is onder de indruk van de zeer gecoördineerde aanval. "Operatie Aurora heeft het cyberdreigingslandschap weer veranderd. Deze aanvallen demonstreren dat bedrijven in alle sectoren een lucratief doelwit zijn." Niet alleen zijn veel bedrijven volgens McAfee's George Kurtz kwetsbaar, het geeft aanvallers ook toegang tot hun intellectueel eigendom. "De malware liet de aanvallers stilletjes de kroonjuwelen van veel bedrijven stelen terwijl mensen van hun december vakantie aan het genieten waren."
De chief technology officer vermoedt dat de aanvallers bewust voor december kozen om zo detectie te beperken. "Het dreigingsmodel van iedereen moet aan de realiteit van deze nieuwe aanvallen worden aangepast." Het gaat niet alleen meer om creditcardgegevens, maar ook intellectueel eigendom en andere waardevolle informatie. Kurtz verwacht nog meer schokkend nieuws te onthullen. "Dit is pas het topje van de ijsberg."
Internet Explorer zero-day beveiligingslek
De kwetsbaarheid waardoor de aanvallers Google wisten binnen te dringen bevindt zich in alle versies van de browser en op alle platformen. Voor zover bekend is de aanval via Internet Explorer 6 en een kwaadaardige website uitgevoerd. Internet Explorer 8 in combinatie met Data Execution Prevention (DEP) voorkomt de aanval. Toch houdt Microsoft de mogelijkheid open om een noodpatch uit te brengen. Volgens de softwaregigant is de aanval alleen bij zeer gerichte aanvallen ingezet, maar moeten ook andere bedrijven hier rekening mee houden.
"Complexe aanvallen die op specifieke bedrijfsnetwerken zijn gericht komen vaker voor in het dreigingslandschap", zegt Mike Reavey van het Microsoft Security Response Center (MSRC). Hij merkt op dat de Protected Mode in IE 7 op Windows Vista en later de mogelijkheden van een aanvaller beperkt. Gebruikers zouden daarnaast ook Data Execution Prevention (DEP) moeten inschakelen.
Trojaans paard
De aanval zelf werd gelanceerd via JavaScript code die het zero-day lek in Internet Explorer misbruikte, aldus Craig Schmugar van McAfee. Zodra het systeem was geïnfecteerd, installeerde de exploit een bestand van een website die inmiddels offline is gehaald. Dit bestand installeerde weer een remote access Trojan (RAT), die zich tijdens het starten van Windows laadde. De malware nam ook contact op met een remote server, waardoor de aanvaller toegang tot het besmette systeem had. Schmugar bevestigt dat de exploit niet werkt als DEP is ingeschakeld.
Update 9:35
Naast mogelijk Yahoo, Symantec, Northrop Grumman en Dow Chemical, zou ook netwerkgigant Juniper gehackt zijn. Het bedrijf wil een aanval niet ontkennen of bevestigen.
Update 9:53
Om detectie van de malware op het bedrijfsnetwerk te voorkomen gebruikten de aanvallers encryptie, dat zegt McAfee tegenover Wired. "We hebben nog nooit encryptie op dit niveau gezien. Het was zeer geraffineerd", aldus Dmitri Alperovitch, vice president threat research. Hoe de Google-werknemer op de kwaadaardige pagina terechtkwam wordt nog uitgezet. Dit zou via e-mail,
Instant Messaging of Facebook gebeurd kunnen zijn.
Uiteindelijk werden er een dozijn malware exemplaren op het systeem geplaatst. Eén van deze kwaadaardige programma's opende een backdoor en een versleuteld "covert channel", dat zich als een SSL-verbinding voordeed om detectie te voorkomen. De besmette computer werd vervolgens als springplank voor aanvallen op de rest van Google's bedrijfsnetwerk gebruikt. Net als Kurtz bevestigt Alperovitch dat McAfee over informatie beschikt die het nog niet mag prijsgeven.
Zodra nieuwe ontwikkelingen bekend worden, zullen we dit bericht updaten.
Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
We kunnen daarvan alleen maar beter worden.
Denken dat IE hier het probleem is doet afbreuk aan het echte verhaal.
Volgens mij wordt bij XP, Vista en Windows 7 automatisch deze functie aangezet.
De standaard instelling is: Turn on DEP for essential Windows programs and services only.
Data Execution Prevention (DEP) is a set of hardware and software technologies that perform additional checks on memory to help protect against malicious code exploits. In Windows XP Service Pack 2, DEP is enforced by both hardware and software.
Via www.grc.com/securable.htm kun je via de applicatie SecurAble controleren of je CPU, hardware DEP ondersteunt.
How does Hardware DEP help with security?
Hardware support for DEP is the single most exciting and potentially powerful technology for detecting, blocking, and preventing all manner of exploitation of unchecked buffer buffer overruns in Windows. Hardware-enforced DEP is the malicious hacker's worst nightmare since it has the potential to catch and stop nearly all Internet-style remote communications buffer overflow attacks.
Mijn vraag:
Moet ik mijn DEP instelling veranderen naar: Turn on DEP for ALL programs and services except those I select om er zeker van te zijn dat ik niet geïnfecteerd kan worden????
En als je account lid is van normale gebruikersgroep en geen onderdeel is van de Administrator groep, kun je dan ook geïnfecteerd raken?
Ik hoor graag jullie reactie.
Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.
En de open deur van het OS?, je bedoelt dat een sysadmin daar zijn patchbeleid of zijn security policy niet goed op orde heeft. Dit heeft niks met een OS of een browser te maken, maar een stupide medewerker die lekker clickhappy iets opent en daarbij een driveby tegen het lijf loopt.
Begrijp me niet verkeerd. ik ben absoluut een MS fanboy, alleen hier op security.nl worden 80% van de berichten over een hack als aanleiding gezien om al dan niet ,een of ander OS te bashen om even wat stoere " ik gebruik <vul hier je OS naar keuze in>, dus ik ben enorm leet" praat te blaten.
-Mystic^
Zoals te zien is op
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
is DEP ingeschakeld voor Internet Explorer 8 voor XP met SP3, en voor Windows 2003, Vista, 2008, en Windows 7 (waarbij Vista, 2008, en Windows 7 tevens beschermd worden door ASLR).
In die situaties is DEP dus al ingeschakeld voor IE8 (te zien via Extra, Internetopties, Geavanceerd), óók wanneer DEP onder System Properties (Systeemeigenschappen), Advanced (Geavanceerd), Settings (Instellingen), Performance Options (Instellingen voor prestaties), tabblad DEP, alleen is ingeschakeld voor essentiële Windows programma's en services.
Zie ook:
http://blogs.technet.com/rhalbheer/archive/2010/01/15/leveraging-data-execution-prevention-dep.aspx
Met IE8 onder XP SP3, of Windows 2003, Vista, 2008, of Windows 7, lijkt het inschakelen van DEP voor álle programma's en services niet noodzakelijk.
Echter, IE7 onder Vista, en IE7 en IE6 onder XP (en IE6 onder Windows 2000) zijn niet beschermd door DEP.
Wil je Internet Explorer gebruiken, gebruik dan IE8.
Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.
En de open deur van het OS?, je bedoelt dat een sysadmin daar zijn patchbeleid of zijn security policy niet goed op orde heeft. Dit heeft niks met een OS of een browser te maken, maar een stupide medewerker die lekker clickhappy iets opent en daarbij een driveby tegen het lijf loopt.
Begrijp me niet verkeerd. ik ben absoluut een MS fanboy, alleen hier op security.nl worden 80% van de berichten over een hack als aanleiding gezien om al dan niet ,een of ander OS te bashen om even wat stoere " ik gebruik <vul hier je OS naar keuze in>, dus ik ben enorm leet" praat te blaten.
-Mystic^
Tuurlijk zou het met Firefox of andere browser ook gelukt zijn, maar het gaat erom dat je op Firefox de NoScript Addon kan zetten en die zou wel geholpen hebben: "De aanval zelf werd gelanceerd via JavaScript code"
Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.
De crimineeltjes gebruikten javascript om de exploit uit te voeren. Als je NoScript gebruikt, en de site staat niet op je whitelist zal het kwaadaardige javascript niet worden uitgevoerd. Stel: iemand injecteert via XSS een [script src=http://www.example.com/evil.js] in je Hyves. Zelfs al staat Hyves op je NoScript whitelist, dan nog zal evil.js niet worden uitgevoerd omdat example.com niet op je whitelist staat.
Probeer NoScript eens, het maakt het browsen echt stukken veiliger.
Dit kan je prima doen, en dat levert je ook zeker een extra laagje bescherming op, maar er is legitieme software die hierdoor breekt. Voor die specifieke applicaties kun je DEP dan uitschakelen, maar als er dan een lek in zit, ben je er dus niet voor beschermd.
geïnfecteerd raken?
De malware zal dan de rechten van jouw gebruiker krijgen, en kan van daaruit gaan proberen via lokale exploits alsnog admin rechten te krijgen. Zodra je lokale toegang hebt, zijn er veel meer mogelijkheden om zulke exploits te proberen...
Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.
De crimineeltjes gebruikten javascript om de exploit uit te voeren. Als je NoScript gebruikt, en de site staat niet op je whitelist zal het kwaadaardige javascript niet worden uitgevoerd. Stel: iemand injecteert via XSS een [script src=http://www.example.com/evil.js] in je Hyves. Zelfs al staat Hyves op je NoScript whitelist, dan nog zal evil.js niet worden uitgevoerd omdat example.com niet op je whitelist staat.
Probeer NoScript eens, het maakt het browsen echt stukken veiliger.
Ik ken het. alleen de ervaring leert, bij gebruikers, als ze dingen niet zien die legitiem zijn. gaat no script er net zo hard weer af. Dingen die de snelheid verminderen of het gebruikersgemak beinvloeden worden als irritant ervaren, dus moeten weg.
Noscript is voor de random gebruiker gewoon geen optie, die willen dat niet.. net zo min als een security minded persoon wil dat je als werknemer gewoon als een blind stuk vee op een link klikt.
zolang iedereen gratis laptops en iphones krijgt en miljoenen uitgekeerd krijgt van een gulle oliesheik in nigeria zullen er mensen blijven klikken op links.. en als dat dan verhinderd wordt door een of ander no script ding.. dan gaat dat no script er gewoon af.
-Mystic^
Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
En dan die tekst: "extreem" gevaarlijk lek terwijl het om een versie van IE gaat van twee generaties terug. Zo ken ik nog wel meer extreem gevaarlijk lekken, maar dan in oude versies van Firefox.
Maar gelukkig kunnen we weer kankeren op Microsoft.
Hoezo covert? Ik wil als chinese overheid toch niet afgeluisterd worden? Allicht dat ze dan een SSL verbinding opzetten. Daarnaast worden die niet gecontroleerd. Ik zou ook niet weten hoe. Data is immers versleuteld. Iemand een idee?
Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
Onwaarschijnlijk dat er iemand bij Google IE gebruikt laat staan IE6.
Het is veel erger. Deze aanval was gericht op gebruikers! Het zij via social engineering of het uitzoeken van ip adressen. Via de exploit op hun desktop (IE6 of een van de honderden andere onbekende exploits) was het mogelijk in hun gmail (en verder) te kijken. Dit was specifiek gericht op bepaalde personen. Dat is wat het zo eng maakt en waarom Google en andere bedrijven domweg zeggen dat de Chinese overheid hier achter zat.
Dat zijn de enige die in staat zijn om uit te zoeken welke pc ze moesten infecteren om daarna in hun google account te kunnen kijken.
Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
En dan die tekst: "extreem" gevaarlijk lek terwijl het om een versie van IE gaat van twee generaties terug. Zo ken ik nog wel meer extreem gevaarlijk lekken, maar dan in oude versies van Firefox.
Maar gelukkig kunnen we weer kankeren op Microsoft.
Het lek bevindt zich ook in IE7 en IE8, alleen door UAC van Windows Vista en Windows 7 (waar wél iedereen onterecht kritiek op had) beperken de schade enigszins (hoewel dat UAC van Windows 7 dankzij al dat gezeik ook niet meer veel voorstelt).
Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
En dan die tekst: "extreem" gevaarlijk lek terwijl het om een versie van IE gaat van twee generaties terug. Zo ken ik nog wel meer extreem gevaarlijk lekken, maar dan in oude versies van Firefox.
Maar gelukkig kunnen we weer kankeren op Microsoft.
Het lek bevindt zich ook in IE7 en IE8, alleen door UAC van Windows Vista en Windows 7 (waar wél iedereen onterecht kritiek op had) beperken de schade enigszins (hoewel dat UAC van Windows 7 dankzij al dat gezeik ook niet meer veel voorstelt).
Dit is onjuist, IE7 en IE8 beperken de schade door DEP, en dit kan ook gebruikt worden onder windows XP
Kijk nog eens hiernaar:
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
en naar wat ik gisteren schreef,
Spiff, vrijdag 15-1-2009, 14.01 uur.
IE7 is alleen onder Windows 2003 standaard beschermd door DEP.
IE8 daarentegen, die wordt beschermd door DEP onder Windows XP SP3, Windows 2003, Vista, 2008, en Windows 7 (waarbij Vista, 2008, en Windows 7 tevens beschermd worden door ASLR).
http://www.security.nl/artikel/32114/1/FIX_voor_IE-zero_day_lek.html
Belangrijk om te zien is dat de lijst van kwetsbare systemen op
http://support.microsoft.com/kb/979352
breder is dan wat weergegeven wordt in het eerder genoemde schema op
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
