image

Hackers misbruiken nieuw IE-lek in het wild

maandag 17 september 2012, 09:40 door Redactie, 22 reacties

Er zou een nog onbekend beveiligingslek in Internet Explorer zitten dat hackers actief misbruiken om op systemen in te breken. Dat meldt beveiligingsonderzoeker Eric Romang. De onderzoeker kwam het nieuwe lek op het spoor na berichten dat de 'Nitro-groep' een kwetsbaarheid in Java gebruikte om organisaties aan te vallen. Het ging hier om het recente gepatchte lek in Java 7. De Nitro-groep werd in 2011 bekend vanwege aanvallen op chemische bedrijven.

Tijdens het onderzoek naar de servers die de groep gebruikt, ontdekte Romang op een server verschillende bestanden. Die bestanden bleken een exploit te zijn die op een volledig gepatchte Windows XP computer malware installeerde. De onderzoeker maakte onderstaande video van de exploit. Het is voldoende om naar een kwaadaardige website te surfen die vervolgens de computer infecteert. Er is geen verdere interactie van de gebruiker vereist.

Exploit
"De mensen die deze nieuwe zero-day ontwikkelden zijn niet blij dat ze ontdekt zijn. Ze hebben twee dagen na mijn ontdekking alle bestanden van hun server verwijderd", aldus Romang. Die ontdekte verder dat de aanvallers ook een Java zero-day variant van de server verwijderden. Microsoft heeft nog niet op de nieuw ontdekte zero-day gereageerd.

Beveiligingsbedrijf Rapid7 heeft echter aangekondigd dat het de exploit vandaag aan hackertoolkit Metasploit zal toevoegen. Daardoor lopen gebruikers van IE7 en IE8 groot risico, omdat de exploit dan voor iedereen toegankelijk wordt. Het Franse beveiligingsbedrijf VUPEN advIseert IE-gebruikers om een andere browser te gebruiken of voorzichtig te zijn.

Update 13:25
De aanvallers installeren via het IE-lek de Poison Ivy backdoor, die eerder ook via het lek in Java 7 werd verspreid, zo meldt beveiligingsbedrijf AlienVault.

Reacties (22)
17-09-2012, 09:58 door Anoniem
Ok, ik ben blond. Als ik dit lees is het alsof gebruikers van IE9 geen risico lopen, klopt dat?
17-09-2012, 10:29 door Anoniem
Betreft Windows XP machines, IE9 draait niet op een Windows XP machine...
17-09-2012, 10:54 door Anoniem
Door Anoniem: Ok, ik ben blond. Als ik dit lees is het alsof gebruikers van IE9 geen risico lopen, klopt dat?

jah maar die werkt niet op windows XP
17-09-2012, 11:14 door Anoniem
Ik zie dat onze group policy dat er geen programmabestanden in Documents and Settings mogen staan dit probleem ook wel voorkomt.
17-09-2012, 11:27 door Spiff has left the building
Door Anoniem:
Ok, ik ben blond. Als ik dit lees is het alsof gebruikers van IE9 geen risico lopen, klopt dat?
In de YouTube weergave:
"The exploit was targeting Windows XP 32-bit with IE7 or IE8"

En in de blog wordt vermeld:
"You will also see that tests are done, in order to target Windows XP 32-bit and Internet Explorer 7 or 8."

Geen beschrijving of ook IE9 onderzocht is.
Geen Vista/ Win7 met IE9 bij de hand om te testen, of niet kwetsbaar?
Onduidelijk.
17-09-2012, 12:59 door MrBil
Ik heb de exploit op IE9 getest en de exploit wordt niet geactiveerd met deze versie.

Ook niet met IE8 op een Windows 7 machine.
17-09-2012, 13:35 door yobi
Wat is het effect als men als gewone gebruiker is ingelogd en niet als administrator?
17-09-2012, 13:48 door yobi
Nog meer uitleg:
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
17-09-2012, 13:54 door Spiff has left the building
Door yobi: Nog meer uitleg:
http://eromang.zataz.com/2012/09/16/zero-day-season-is-really-not-over-yet/
Hoezo meer uitleg?
Dat is de blog-pagina waar ook de redactie naar linkt in het bovenstaande artikel.
17-09-2012, 13:55 door Bitwiper
Door MrBil: Ik heb de exploit op IE9 getest en de exploit wordt niet geactiveerd met deze versie.

Ook niet met IE8 op een Windows 7 machine.
Dat laatste is een interessante constatering (mogelijk geen bug in IE8, maar in XP?)

Maar: waarom werkt de exploit niet onder W7? Misschien omdat je admin rechten moet hebben voor de nu beschikbare exploit (en je er vanuit gaat dat men UAC niet uitschakelt)? Wellicht omdat de exploit alleen op Engelstalige Windows computers werkt en jij een NL Windows gebruikt? Of is de bug in alle MSIE versies aanwezig, maar is het DEP en/of ASLR die de exploit onder W7 weet te verhinderen?

Je kunt IE8 redelijk dichttimmeren (bijv. Flash heb ik gewhitelist, d.w.z. ik sta alleen Flash toe vanaf een beperkt aantal sites). Het zou mij niet verbazen als niet elke XP machine met MSIE8 kwetsbaar blijkt.

Andersom, op basis van de nu beschikbare (minimale) informatie sluit ik nog niet uit dat er "in het wild" Vista/W7 machines met IE9 bestaan die t.g.v. afgezwakte instellingen toch kwetsbaar blijken te zijn. Bovendien kun je niet uitsluiten dat dezelfde, of andere, aanvallers de exploit zo aan weten te passen dat deze ook onder W7+IE9 met default instellingen werkt.
17-09-2012, 16:13 door MrBil
Bitwiper, ik heb de exploits onder een Windows 7 met Adminrechten getest. UAC kun je toch omzeilen.
17-09-2012, 16:51 door Anoniem
Blijkbaar ook IE9
https://community.rapid7.com/community/metasploit/blog/2012/09/17/lets-start-the-week-with-a-new-internet-explorer-0-day-in-metasploit
17-09-2012, 16:59 door Bitwiper
Door MrBil: Bitwiper, ik heb de exploits onder een Windows 7 met Adminrechten getest.
Okay! Maar dat de exploit niet werkt kan aan veel andere zaken liggen, zoals de taalinstelling, Win32/64, gelijknamige DLL's met andere indeling (adressen van functies) voor W7 dan XP etc.
UAC kun je toch omzeilen.
Hoe dan (anders dan door social engineering)?
18-09-2012, 09:07 door Anoniem
Effect gewone gebruiker of Admin:

An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Staat hier : http://technet.microsoft.com/en-us/security/advisory/2757760

Dit is graag informatie die ik bij elke exploit zou willen zien, wat is het impact verschil met Admin rechten en zonder.
Kan me voorstellen dat sommige Drive-By downloads en/of attachments via mail bij een gebruiker zonder Admin rechten veel minder schaden kunnen aanrichten.

En wat als je Applocker of iets dergelijks gebruikt?, bijvoorbeeld alleen Executebles in de bekende locaties gestart mogen worden?
19-09-2012, 12:44 door Anoniem
Ook al ga je een andere browser gebruiken, wanneer je Java out of dat is ben je toch nog steeds de sjaak?
20-09-2012, 00:03 door Anoniem
Stap in godsnaam gewoon over op Linux. Om welke reden wil iemand nog Windows gebruiken. Het is duur en van oorsprong onveilig. Voor de beginner is Linux Mint perfect. Makkelijk en veilig. Voor de liefhebber Fedora of Suse Linux.

Probeer het. Het is gratis en je bent veilig. Geen virussen en geen spyware.
Ik heb nooit begrepen waarom de massa niet "wakker" wordt.
20-09-2012, 11:31 door Anoniem
Door Anoniem: Stap in godsnaam gewoon over op Linux. Om welke reden wil iemand nog Windows gebruiken. Het is duur en van oorsprong onveilig. Voor de beginner is Linux Mint perfect. Makkelijk en veilig. Voor de liefhebber Fedora of Suse Linux.

Probeer het. Het is gratis en je bent veilig. Geen virussen en geen spyware.
Ik heb nooit begrepen waarom de massa niet "wakker" wordt.

Het is een afweging die bedrijven kunnen maken, geld uitgeven voor standaard software die wereldwijd gebruikt wordt en waar gebruikers meteen mee kunnen werken, of met gratis software gaan aanrommelen waarbij je met veel verborgen kosten te maken gaat krijgen...
21-09-2012, 10:28 door Anoniem
Door Anoniem: Stap in godsnaam gewoon over op Linux. Om welke reden wil iemand nog Windows gebruiken. Het is duur en van oorsprong onveilig. Voor de beginner is Linux Mint perfect. Makkelijk en veilig. Voor de liefhebber Fedora of Suse Linux.

Probeer het. Het is gratis en je bent veilig. Geen virussen en geen spyware.
Ik heb nooit begrepen waarom de massa niet "wakker" wordt.

Dit is het zelfde bagger argument die Apple fanboys altijd geven als het om "beveiliging" gaat. Totdat er 300.000 Macs werden gehacked nog niet zo lang geleden. Toen waren alle fanboys erg stil.

Linux is niet gratis, het is gratis te downloaden maar probeer jij maar eens gratis support te krijgen bij Cannonical als je Ubuntu gebruikt. Je kan dan gewoon je portemonnee trekken want support is alles behalve gratis. En het argument dat er een grote community achter zit is een non argument want bedrijven hebben niets aan halve oplossingen.

Een ander groot probleem is dat geeft mijn voorganger al aan niet iedereen met Linux kan of wil werken, Linux is voortgevloeid uit de nerd scene en probeert nu de consumenten markt te benaderen, maar voor een ieder die geen enkel verstand van Linux heeft is het bijna niet te doen. Windows kent iedereen al sinds 1995.
21-09-2012, 14:35 door Booze
Door Anoniem:
Door Anoniem: Stap in godsnaam gewoon over op Linux. Om welke reden wil iemand nog Windows gebruiken. Het is duur en van oorsprong onveilig. Voor de beginner is Linux Mint perfect. Makkelijk en veilig. Voor de liefhebber Fedora of Suse Linux.

Probeer het. Het is gratis en je bent veilig. Geen virussen en geen spyware.
Ik heb nooit begrepen waarom de massa niet "wakker" wordt.

Dit is het zelfde bagger argument die Apple fanboys altijd geven als het om "beveiliging" gaat. Totdat er 300.000 Macs werden gehacked nog niet zo lang geleden. Toen waren alle fanboys erg stil.

Linux is niet gratis, het is gratis te downloaden maar probeer jij maar eens gratis support te krijgen bij Cannonical als je Ubuntu gebruikt. Je kan dan gewoon je portemonnee trekken want support is alles behalve gratis. En het argument dat er een grote community achter zit is een non argument want bedrijven hebben niets aan halve oplossingen.

Een ander groot probleem is dat geeft mijn voorganger al aan niet iedereen met Linux kan of wil werken, Linux is voortgevloeid uit de nerd scene en probeert nu de consumenten markt te benaderen, maar voor een ieder die geen enkel verstand van Linux heeft is het bijna niet te doen. Windows kent iedereen al sinds 1995.

Waarom ik hier niet overstap met onze 125 werkplekken? Wellicht omdat de helft van mijn productie applicaties niet werken op linux? De paniek onder mijn eindgebruikers kom ik wel overheen, dat duurt maar enkele dagen, en dan weten ze hoe ze hun werk moeten doen en is het goed.

Zoals terecht wordt aangegeven is Linux helemaal niet gratis, zolang het goed gaat wel, maar zodra je wat ondersteuning nodig hebt, en inderdaad, het bedrijfsleven heeft niets aan iets wat "bijna" af is, of waarvan mogelijk de community op enig moment beslist dat het project gestopt wordt, en ga zo nog maar even door.

En wat dacht je van continuiteit? Stel ik bouw als beheerder een linux netwerk, en ik ga weg of er gebeurd onverhoopt een ongeluk waardoor ik er niet meer ben, wat gebeurd er dan met het door mij gebouwde netwerk, hoe lang heeft mijn opvolger nodig om te doorgronden wat ik nu eigenlijk gebouwd heb, aangezien er bij linux meerdere wegen naar rome leiden? Om nog maar te zwijgen over het feit dat mijn werkgever waarschijnlijk niet op korte termijn een beheerder kan vinden die gewend is om op professioneel nivo te denken ipv lapmiddelen te gebruiken?
23-09-2012, 13:55 door Anoniem

En wat dacht je van continuiteit? Stel ik bouw als beheerder een linux netwerk, en ik ga weg of er gebeurd onverhoopt een ongeluk waardoor ik er niet meer ben, wat gebeurd er dan met het door mij gebouwde netwerk, hoe lang heeft mijn opvolger nodig om te doorgronden wat ik nu eigenlijk gebouwd heb, aangezien er bij linux meerdere wegen naar rome leiden? Om nog maar te zwijgen over het feit dat mijn werkgever waarschijnlijk niet op korte termijn een beheerder kan vinden die gewend is om op professioneel nivo te denken ipv lapmiddelen te gebruiken?

Ik treed even buiten de context van de discussie, maar het bovenstaande illustreert nu juist het grootte probleem binnen de IT vandaag de dag.
Het gebrek aan deugdelijke documentatie omtrent de software en netwerk. Laat staan een overdracht voor de opvolger. Dit heeft te maken met professionaliteit. Er zijn teveel amateurs die wel een netwerk in elkaar weten te prutsen, maar onderhoud, continuïteit en documentatie is teveel gevraagd voor deze mensen. Ik zie graag dat het management zich hier mee bezig houd, scheelt ze een hoop geld.
24-09-2012, 23:50 door Patio
Alweer M$. Weer enorm blij met Appl€ OSX
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.