image

Nieuw lek raakt Windows 7 met IE9

maandag 17 september 2012, 16:56 door Redactie, 19 reacties

Het nieuw ontdekte beveiligingslek in Internet Explorer dat actief wordt gebruikt om systemen met malware te infecteren, is ook een probleem voor gebruikers van IE9 op Windows 7. Dat blijkt uit de exploit die beveiligingsbedrijf Rapid7 aan hackertool Metasploit toevoegde. In eerste instantie werd aangenomen dat alleen gebruikers van IE7 en IE8 op Windows XP risico liepen, maar de impact is veel groter. Alle ondersteunde IE-versie op Windows XP, Vista en Windows 7 zijn kwetsbaar.

Aandeel
Volgens Net Applications hebben de drie browsers een wereldwijd marktaandeel van zo'n 45%. StatCounter stelt het aandeel op zo'n 33%. In Nederland surft zo'n 44% met Internet Explorer. Het bezoeken van een kwaadaardige of gehackte website is voldoende om besmet te raken.

De exploit die nu actief wordt gebruikt is afkomstig van dezelfde groep die eerder een zero-day kwetsbaarheid in Java 7 gebruikte om malware te verspreiden. Nu de exploit ook in Metasploit is verschenen wordt grootschalig misbruik een stuk waarschijnlijker.

Reacties (19)
17-09-2012, 17:44 door [Account Verwijderd]
[Verwijderd]
17-09-2012, 18:20 door regenpijp
Door Miriam4711: Zou iemand me nu eens willen en of kunnen uitleggen hoe dit kan?
Heb dit vaker gevraagd in berichten, wil ook eventueel een apart topic aanmaken.
Het lek snap ik je komt dan op een besmette site met malware.
Maar die virus scanner houdt toch die malware tegen als het geen zero day is dan he?

Er zijn verschillende manieren om virusscanners te ontwijken, zoals obfuscatie, encoderen en encrypten, een virusscanner is niks meer dan een programma dat definities controleert op alle bestanden en dan helpt heuristiek ook (bijna) niks.
17-09-2012, 18:24 door [Account Verwijderd]
[Verwijderd]
17-09-2012, 18:33 door Bitwiper
Door Miriam4711: Het lek snap ik je komt dan op een besmette site met malware.
Maar die virus scanner houdt toch die malware tegen als het geen zero day is dan he?
Het gaat hier om een nieuwe "exploit" (misbruik maken van een lek in software).

Bij een deel van de bekende kwetsbaarheden is er sprake van een herkenbaar patroon in de malware die de exploit uitnut, maar dit is niet per definitie zo.

Malwaremakers zijn voortdurend bezig om hun "producten" zodanig aan te passen dat deze door zo min mogelijk virusscanners worden gedetecteerd. Dat geldt zowel voor software met de exploit als de feitelijke malware die in bijna alle gevallen wordt "nageladen". Het alternatief voor een exploit is een trojan, waarbij een gebruiker op de een of andere manier verleid wordt om dat trojan-programma te starten.

In het algemeen geldt dat malware die kort geleden door malwaremakers is vrijgegeven, door weinig tot geen virusscanners wordt herkend. Enkele voorbeelden van vandaag:

Detectie door 3 van 42 virusscanners, 2012-09-17 13:27:49 UTC ( 3 hours, 2 minutes ago ):
https://www.virustotal.com/file/a1ce7ba22f792bff2cd5d5eb119e93288df0d3adb0e5cdae69a24761e668fd0a/analysis/

Detectie door 5 van 42 virusscanners, Analysis date: 2012-09-17 13:36:18 UTC ( 2 hours, 53 minutes ago ):
https://www.virustotal.com/file/6c1daa5041bb2531c4d248b28aa3cb850e806d6bc6a416cdc15d4e88334fdefc/analysis/

Sorry, Regenpijp was me voor... (je kan ook niks meer ff uitzoeken tegenwoordig ;)
17-09-2012, 18:38 door [Account Verwijderd]
[Verwijderd]
17-09-2012, 18:40 door wtfuzz
Voordeel is dat de door MSF geleverde exploit onder IE9 alleen werkt als je java geinstaleerd hebt. Ze gebruiken namelijk een java dll om de ROP gadgets vandaan te halen.
Dit wil niet zeggan dat het onmogelijk is om een exploit te schrijven die ook werkt zonder java install, maar voorlopig ben je nog 'veilig' als je gewoon geen java op je machine hebt staan.
17-09-2012, 18:49 door [Account Verwijderd]
[Verwijderd]
17-09-2012, 19:47 door Spiff has left the building
Door wtfuzz:
Voordeel is dat de door MSF geleverde exploit onder IE9 alleen werkt als je java geinstaleerd hebt. Ze gebruiken namelijk een java dll om de ROP gadgets vandaan te halen.
Dit wil niet zeggan dat het onmogelijk is om een exploit te schrijven die ook werkt zonder java install, maar voorlopig ben je nog 'veilig' als je gewoon geen java op je machine hebt staan.
Hai wtfuzz,
Interessante eerste reactie op Security.nl :-)
Baseer je wat je aangeeft op de screenprints op de Metasploit pagina, met de "Using JRE ROP" regel?
Of op nog wat anders?

Als klopt wat je aangeeft, dan is dat interessant, en (voorlopig) mooi meegenomen voor non-JRE IE9 gebruikers.
Ik kan dat echter niet beoordelen.
Kan iemand anders wtfuzz' stelling misschien bevestigen?
Bedankt.
17-09-2012, 20:07 door wtfuzz
Ik baseer me oa op de source van de MSF module en het feit dat er momenteel slechts 2 publicly known ASLR bypass trucjes in omloop zijn.
1) Java module die geen ASLR heeft
2) Office 2010 Module die geen aslr heeft : http://www.greyhathacker.net/?p=585

Ik vind method 1 altijd een beetje suf want als iemand Java op zn system heeft staan dan zijn er veel makkelijkere manieren om RCE te krijgen die niet gebruik maken van memory corruption EN als bonus ook nog eens geen last hebben van Protected Mode.

Methode 2 heb ik nog niet veel gebruikt gezien, maar is zeker in een bedrijfs omgeving waarschijnlijk goed bruikbaar.

Verder is er nog optie 3) info leak, maar ben er 99% zeker van dat dat niet in de MSF module zit.
En heb even 10 minuten naar de crash gekeken en denk niet dat iemand heel vlot hier een info leak van kan maken.
17-09-2012, 20:13 door [Account Verwijderd]
[Verwijderd]
17-09-2012, 20:22 door Spiff has left the building
Door wtfuzz, 20:07 uur: Ik baseer me oa op de source van de MSF module en het feit dat er momenteel slechts 2 publicly known ASLR bypass trucjes in omloop zijn.
[...] [...]
Thanks, wtfuzz.

Door Peter V: Omdat er nog geen patch is uitgegeven is het volgens Rapid-7 verstandig om IE niet te gebruiken (in samenwerking met windows-xp, vista en 7).
Dat mag voor zich spreken,
maar niettemin is wat wtfuzz aangeeft toch zeker interessant.
17-09-2012, 20:40 door wtfuzz
Ik zeg niet dat het onmogelijk is om een POC te schrijven die geen gebruik maakt van java ... ( https://twitter.com/WTFuzz/status/247750139341594625 ) zei alleen dat de MSF exploit java nodig heeft,

wat betreft veilig browsen: ik zou zeggen gebruik google chrome, en zorg ervoor dat je geen java instaleerd, zet ook alle plugins op 'Click to Play' (of 'Block') ( chrome -> settings -> settings -> show advanced settings -> Privacy -> content settings -> plugins)

Mocht je echt paranoide zijn: EMET3.5 is een goede tool die ik denk 80 - 90% van alle publieke exploits tegenwerkt.

En als laatste optie: ga offline en lees een boek ;)


ps: dit is geen al omvattende veilig browsen tip lijst, alleen kleine suggesties
17-09-2012, 22:28 door regenpijp
@wtfuzz:

Laat ik nou net click to play in Chrome, NoScript in Firefox + EMET hebben en geen Java hebben ;)

Even buiten dat, ik heb de exploit van msf geüpload naar VirusTotal, overigens zonder verdere extra vormen van extra obfuscatie ofzo, hieronder de resultaten:
Standaard heap-overflow script (Overigens werd deze als nog door de heuristiek van Avira bij mij herkend als heap exploit):
https://www.virustotal.com/file/2a2158e4e94888c2277813e73a1217dcd92caf0cc049eb03d766c0235a614dc7/analysis/1347912956/
Specifieke execcommand html:
https://www.virustotal.com/file/7abde3997f1dd168b5946a3f48288e23d9ca2e742a66f3d984a909fb35108b1c/analysis/1347912972/

Off-topic: wtfuzz kwam me al ergens bekend van voor en ja hoor vermoede klopte, die heeft iets meer dan een paar jaartjes ervaring ;)
18-09-2012, 07:45 door yobi
Een paar vragen:
Werkt de exploit ook zonder admin rechten?
Blijft de java-dll achter na het verwijderen van java?
18-09-2012, 08:17 door Anoniem
Dat blijkt uit de exploit die beveiligingsbedrijf Rapid7 aan hackertool Metasploit toevoegde.

Beveiligingsbedrijf??? Toevoegen aan een hackerstool??? Zouden ze die beiden niet beter van het net gooien?
Ah! waarschijnlijk gaat het weer om educatieve doeleinden/onderzoek ... (LOL)
Geen Java op de pc's hier.
Ik heb het wel gehad met al die hackers tegenwoordig Get A Life zou ik zeggen.
18-09-2012, 08:45 door Anoniem
Ja precies, ik merk vaak dat bij dit soort meldingen niet wordt vermeld of je ook besmet kan raken zonder admin rechten.
Dit zou ik wel nuttige informatie vinden bij elke exploit, lek, etc.
18-09-2012, 09:10 door Anoniem
Verschil met gebruikersrechten en met admin rechten:

An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Bron:
http://technet.microsoft.com/en-us/security/advisory/2757760


Het is wel fijn om te weten inderdaad wanneer er een exploit is of er een verschil is of het werkt op een systeem met een gebruiker met Admin rechten of zonder. Kan me voorstellen zonder Admin rechten bepaalde executables niet te starten zijn en dus de exploit niet gaat werken.

Of hij werkt een exploit in combinatie met Applocker, wanneer bijvoorbeeld alleen de bekende folder rechten hebben om executables te starten, zoals Program Files en Windows folder, dat bij User folders het niet toegestaan is, in hoeverre werkt dan nog een Exploit.

Zie in het artikel hier ook staan dat EMET bijvoorbeeld de Exploit wel tegen houd...
18-09-2012, 12:02 door Anoniem
Probleem is dat virusscanners niet snel genoeg mee evolueren tov de malware die ze moeten tackelen. Ik zie het ook x op x dat virus bestanden gewoonweg niet worden gezien als malafide. En dan de ene x is het Mcafee, andere x weer Symantec en of TrendMicro dan wel Microsoft. Dit geldt voor alle AV makers overigens. Beste zou zijn om een combi scanner, die gebruik kan maken van alle definities. Dan nog, een 100% garantie ga je nooit krijgen. Maar meer boarders opgooien, samen met educatie en common sense, is all you can do.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.