image

Defensiebedrijven gehackt via PDF-exploit uit 2009

donderdag 12 januari 2012, 14:20 door Redactie, 2 reacties

Een handvol Amerikaanse defensiebedrijven was eind vorig jaar het doelwit van een zeer gerichte aanval, waarbij uit 2009 stammende aanvalscode werd gebruikt. Via een kwaadaardig PDF-document dat een onbekend lek in Adobe Reader 9 voor Windows gebruikte, wisten de aanvallers bij een aantal bedrijven in te breken. Volgens Adobe werden minder dan twintig computers binnen verschillende defensiebedrijven geïnfecteerd. "Dit was één team met één verzameling doelwitten", aldus Adobe beveiligingschef Brad Arkin.

Uit onderzoek zou blijken dat de aanval onder andere tegen personeel van ManTech was ingezet, een groot defensiebedrijf. Na het openen van het document werd de Sykipot Trojan gedownload. De defensiebedrijven beschikten wel over een virusscanner, maar de malware was zo aangepast dat die niet door de anti-virus software werd opgemerkt.

Recycling
Voor de aanval gebruikten de aanvallers een verbouwde proof-of-concept exploit uit 2009, laat Arkin weten. Het bedrijf waarschuwde klanten op 6 december voor een nieuw lek in de PDF-lezer, dat tien dagen later via een noodpatch werd verholpen. Vier dagen na de bekendmaking door Adobe, ontdekte beveiligingsonderzoeker Brandon Dixon dat de aanvallers een uit 2009 stammende exploit van Andres Manzano gebruikten, iets wat Arkin nu heeft bevestigd.

"Ontwikkelen maakt mensen lui, wat prima is, maar niet als je exploits schrijft", aldus Dixon. Hij concludeert dat de aanvallers publiek beschikbare code opnieuw gebruikten. "Deze aanval laat ook zien dat aanvallers lezen wat onderzoekers publiceren en soms gebruiken."

Arkin doet dan ook een beroep op onderzoekers. "Ik denk dat het fantastisch is als mensen hun eigen tijd en energie gebruiken om bugs en lekken in software te vinden. Ik vraag alleen dat ze nadenken over het mogelijke gebruik van die informatie als ze iets publiceren."

Reacties (2)
12-01-2012, 14:56 door Anoniem
Dat nadenken hebben ze ook wel gedaan. Namelijk, als ze nooit publiceren, doen de vendors ook niets om die lekken te verhelpen. De meeste bedrijven investeren daar liever niet in, en laten ons met lekke software achter. En die lekken worden vroeg of laat toch ook door potentiële aanvallers gevonden. En dan gebeurt er pas iets aan als heel veel mensen er last van krijgen (m.a.w. als het kalf al verdronken is)...
Dus, stel het bedrijf op de hoogte, geef ze een bepaalde, redelijke termijn om het lek te dichten, en dan publiceren.
13-01-2012, 16:18 door Anoniem
Eh, volgens mij is de exploit wel nieuw hoor. Vandaar ook het nieuwe CVE nummer. Alleen is een poc voor een andere vulnerability uit 2009 hergebruikt, inclusief de commentaren van Andres Manzano er nog in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.