Onderzoeker hackt routers via e-mail
Door het openen van een e-mail op een iPhone, iPad of Mac is het mogelijk voor een aanvaller om de DNS-instellingen van de router te wijzigen en al het netwerkverkeer via zijn computers te laten lopen. Beveiligingsonderzoeker Bogdan Calin ontdekte twee problemen die de aanval mogelijk maken. Het eerste probleem is dat Apple-apparatuur afbeeldingen die op een server worden gehost standaard in e-mails laat zien.
Het tweede probleem is dat veel gebruikers het standaardwachtwoord van hun router niet hebben gewijzigd. Calin testte de aanval op verschillende Asus en TP-Link routers, alsmede een Arcor EasyBox A600. Deze routers accepteren configuratieparameters via zowel POST als GET requests, laat de onderzoeker op het blog van zijn werkgever Acunetix weten.
"Daardoor is het mogelijk om de POST parameters te nemen, die naar GET parameters om te zetten en een e-mail naar het slachtoffer te sturen met een afbeelding waarbij de bron naar de configuratie URL van de router wijst."
Om de aanval uit te voeren moet Calin wel het wachtwoord weten, maar in veel gevallen is dat het standaardwachtwoord.
Wachtwoord
"Om de kans op een succesvolle aanval te vergroten, kan ik meerdere afbeeldingen sturen; één met de standaard gebruikersnaam en wachtwoord voor de router en een andere met de meest voorkomende wachtwoorden." Er is verder geen interactie met de gebruiker vereist. Zodra die de e-mail opent, kan Calin de DNS-instellingen wijzigen en vervangen door een eigen IP-adres.
Het Domain Name System (DNS) fungeert als het telefoonboek van het internet. Het stelt een computer in staat het IP-adres te vinden dat bij een domeinnaam of subdomein hoort.
In het geval Calin de DNS-instellingen heeft gewijzigd, kan hij bepalen waar slachtoffers naar toe worden geleid als ze bijvoorbeeld het adres van hun bank, e-mail of andere website in de browser invoeren. Om de aanval te voorkomen adviseert de onderzoeker dat gebruikers het standaardwachtwoord van hun router wijzigen en een sterk wachtwoord kiezen.
ja zeker wel, alleen is domheid van de mens niet te patchen. waarom geven mensen altijd de apparaten de schuld. jij kiest ervoor om mail te openen die buiten jouw normale doen om gaat. eigenlijk theoretisch gezien doe je niets meer dan gewoon toestemming geven, alleen word dit niet gevraagt of aangegeven, je word misleid met een lief poesje. (dat is dan ook de grootste dreiging in deze aanval)
dus: de grootste dreiging is de mens zelf, ookal ziet jouw apparaat nog zo scheel van alle beveiligings apps en andere frutseltjes.
dus het zinnetje behoort dan ook te zijn: "Helaas worden er nog steeds geen mensen geboren die eerst nadenken voor ze iets openen"
i rest my case.
Edit: of gewoon de beveiliging laten voor wat het is, zoals we die vandaag de dag kennen. en verder alleen bij Email programma's een soort van standaard maakt bij het opnenen van elke email in je inbox & spambox iets in de trant van: "Menneer of mevrouw, Weet u wel zeker dat u dit wilt openen? denk er anders nog even een keer overna."
misschien dat de mensen dat leren na denken voor ze iets openen?¿
of kunnen we met zijn alleen tegenwoordig alle kwaadaardige dingen weg denken van het internet zodra we een email krijgen met een lief poesje erin?
Dus dat super Windows O.S beschermd me gelukkig tegen dit probleem :-)
Want Bill Gates heeft als slogan; nu nog veiliger.
Of zouden ze Windows hebben vergeten? Denk het wel toch.
Maar daarom draai ik ook FreeBSD, gebruik geen mail, geen iPhone of iPad.
Lekker rustig en tenminste vele malen veiliger.
De kwetsbaarheid zit volgens mij helemaal niet in het feit dat IOS de plaatjes direct laat zien, maar in de router die aangestuurd worden door de in iframes opgenomen html. Het plaatje dient volgens mij alleen om het aantrekkelijk te maken de email te openen ?
dat klopt, een stukje Social Engineering. omdat mensen nogal snel schijnen te vallen over een lief klein poesje.
dat geld ook voor alle andere dingen dus een lief klein poesje is geen must. de aanvaller kiest een onderwerp bijvoorbeeld: "u ben de gelukkige winnaar van 1 miljoen euro, open de mail om te zien waar u uw prijs kunt claimen"
niet iedereen maar zeker VEEL mensen zullen erin trappen vooral mensen in geld nood. in de crisis tijd zijn we dat dus allemaal. het is alleen aan jou om af te wegen of je ingaat op iets waarvoor je nooit hebt meegespeeld. dat geld dus ook voor n lief poesje. dus Domheid van de mens is niet te patchen.
zodra jij op de mail klikt om hem te openen, open je dus ook dit "exploit". zonder datje weet wat er in de achtergrond gebeurt. in combinatie met social engineering en CSRF (of) XSRF ook wel (1 klik aanval) is dit een vrij gevaarlijke aanval. zonder social engineering denk ik niet dat het successfull exploit rate bij dit exploit omhoog zal schieten. of terwijl: een veel minder erge dreiging, omdat niemand erop in zal gaan.
persoonlijk zelf, kijk ik nooit naar dit soort exploits omdat het gewoon weg te simpel is en niet veel success kans biedt. ik check alleen mn mailbox op vissers en malware, leuker en interessanter om mee te spelen.
Alle gebruikers kan je leren een sterk wachtwoord in te voeren en deze ergens op te laten schrijven, zelfs Apple gebruikers. ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
