image

IE10-lek gebruikt voor aanpassen hosts-bestand

woensdag 19 februari 2014, 14:20 door Redactie, 8 reacties

Het recent ontdekte beveiligingslek in Internet Explorer 10 waarvoor nog altijd geen update is verschenen hebben aanvallers gebruikt om het Windows hosts-bestand bij bepaalde slachtoffers aan te passen. Daarnaast zouden twee verschillende groepen de exploit gebruiken waarmee het lek wordt aangevallen.

Dat laat beveiligingsbedrijf Seculert weten. Onlangs kwam FireEye met de waarschuwing voor het nieuw ontdekte lek, dat op een website van Amerikaanse veteranen was ontdekt. Volgens Microsoft is het lek zowel in IE9 als IE10 aanwezig. De aanvallen zouden zich echter alleen op IE10-gebruikers richten.

Beveiligingsbedrijf Websense liet na de ontdekking door FireEye weten dat het de aanval ook op een website van de overkoepelende organisatie van de Franse luchtvaartindustrie had ontdekt. Deze aanval vond al in januari plaats. Seculert heeft deze aanval verder onderzocht en ontdekte dat de malware het op de remote users van een specifiek Frans luchtvaartbedrijf had voorzien.

Hosts-bestand

Zodra de malware op een computer actief was werden aan het Windows hosts-bestand de domeinen van een Frans luchtvaartbedrijf toegevoegd. Windows gebruikt het hosts-bestand om te kijken wat het IP-adres van een opgegeven domein is. Malware kan het hosts-bestand aanpassen om bijvoorbeeld banksites naar IP-adressen van de aanvallers te laten wijzen. In het geval van de IE10-aanval werden juiste de echte IP-adressen van het aangevallen bedrijf ingevoerd.

Via de domeinen kunnen werknemers van het luchtvaartbedrijf op afstand op verschillende applicaties en omgevingen inloggen. Volgens Seculert werden de echte domeinen en IP-adressen juist toegevoegd om DNS-connectiviteitsproblemen te voorkomen. Zodra gebruikers op de remote applicatie of website inlogden werden hun gebruikersnaam en wachtwoord onderschept. Het beveiligingsbedrijf stelt dat het aanvallen van remote users een groeiende trend is.

Image

Reacties (8)
19-02-2014, 14:25 door Mysterio
Om de host-file aan te passen heb je toch administrator rechten nodig? Dat lijkt me dan een eenvoudige 'fix'.
19-02-2014, 15:30 door Anoniem
Door Mysterio: Om de host-file aan te passen heb je toch administrator rechten nodig? Dat lijkt me dan een eenvoudige 'fix'.

JA en? Veel mensen werken op standaard geinstalleerde systemen en (helaas) is elk account dat aangemaakt wordt bij de initiele installatie een administrator. Een "standaard" gebruiker weet amper dat hij meer dan 1 account kan aanmaken, laat staan, dat hij weet dat je accounts met verschillende rechten moet aanmaken en altijd met een beperkt account moet aanloggen om gewoon te werken.
19-02-2014, 18:30 door Anoniem
Ik ben benieuwd of dit alleen bij XP het geval is? Het bronartikel is hier ook niet echt duidelijk in..
20-02-2014, 08:30 door Anoniem
Door Anoniem:
Door Mysterio: Om de host-file aan te passen heb je toch administrator rechten nodig? Dat lijkt me dan een eenvoudige 'fix'.

JA en? Veel mensen werken op standaard geinstalleerde systemen en (helaas) is elk account dat aangemaakt wordt bij de initiele installatie een administrator. Een "standaard" gebruiker weet amper dat hij meer dan 1 account kan aanmaken, laat staan, dat hij weet dat je accounts met verschillende rechten moet aanmaken en altijd met een beperkt account moet aanloggen om gewoon te werken.

Ok, standaard staat Local Administrator aan bij normale consumenten pc's, maar zo ook UAC, welke ook bescherming bied op het HOST bestand.

Dus moeten bij deze exploit beide uitstaan?
Of omzeilt deze exploit beide?

Te weinig details naar mijn idee...
20-02-2014, 08:32 door Anoniem
Door Anoniem: Ik ben benieuwd of dit alleen bij XP het geval is? Het bronartikel is hier ook niet echt duidelijk in..

In principe denk ik van nee, aangezien XP niet verder gaat dan IE8....
Artikel staat alleen IE9 en IE10...
Dus Windows Vista, W7 en W8 (Dus geen W8.1 die heeft IE11)

Maar goed is een aanname, staat niet in het artikel.
20-02-2014, 13:29 door Anoniem
UAC uitschakelen is kinderspel tegenwoordig:

#include <stdio.h>
#include <stdlib.h>
int main ()
{
int i;
i= system ("%windir%\\System32\\reg.exe ADD HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 4 /f");
printf ("The value returned was: %d.\n",i);
return 0;
}
20-02-2014, 13:31 door Mysterio
Door Anoniem:
Door Mysterio: Om de host-file aan te passen heb je toch administrator rechten nodig? Dat lijkt me dan een eenvoudige 'fix'.

JA en? Veel mensen werken op standaard geinstalleerde systemen en (helaas) is elk account dat aangemaakt wordt bij de initiele installatie een administrator. Een "standaard" gebruiker weet amper dat hij meer dan 1 account kan aanmaken, laat staan, dat hij weet dat je accounts met verschillende rechten moet aanmaken en altijd met een beperkt account moet aanloggen om gewoon te werken.
Dat zijn tevens de mensen die zich überhaupt niet verdiepen in computerbeveiliging en dus ook de net uitgekomen fix van Microsoft niet zullen installeren. Een basisvaardigheid zoals het omgaan met gebruiker accounts mag anno 2014 wel verwacht worden van de 'standaard gebruiker'.
20-02-2014, 21:56 door Anoniem
Om UAC uit te schakelen moet je toch wel eerst door de UAC pop-up heen via een prog of script.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.