image

Internet Explorer geeft aanvaller informatie over beveiliging

zaterdag 26 juli 2014, 09:14 door Redactie, 2 reacties

Aanvallers gebruiken verschillende functies in Internet Explorer die ervoor zorgen dat er informatie over de beveiliging van een computer en geïnstalleerde software en updates kan worden opgevraagd, zonder dat gebruikers hier weet van hebben. Met de informatie kan een verdere aanval worden uitgewerkt.

Daarvoor waarschuwt het beveiligingsbedrijf AlienVault Labs, dat verschillende aanvallen heeft gezien waarbij deze tactiek werd toegepast. Voor aanvallers is het belangrijk om te weten welke software er op de computer van een potentieel doelwit geïnstalleerd is. De aanwezigheid van Microsofts Enhanced Mitigation Experience Toolkit (EMET) maakt het bijvoorbeeld lastiger om beveiligingslekken aan te vallen, zegt analist Jaime Blasco.

Verkenningsaanval

Door het plaatsen van code op een website die het slachtoffer al uitzichzelf bezoekt wordt het mogelijk om Internet Explorer bepaalde taken uit te laten voeren. IE blokkeert bijvoorbeeld toegang tot het lokale bestandssysteem, maar door het gebruik van res:// is het mogelijk om te kijken of er een bepaalde afbeelding binnen een DLL- of EXE-bestand op de computer aanwezig is. Is dit het geval, dan is de software geïnstalleerd. Deze truc werkte in IE8 en ouder.

Een andere techniek is aanwezig in alle ondersteunde versies van IE en maakt het mogelijk om op de aanwezigheid van bestanden en mappen te controleren. Wederom wordt er op deze manier gezocht naar aanwezige beveiligingssoftware. Bij een andere toepassing van deze techniek controleerde de code de aanwezigheid van Microsofts EMET. Was de software aanwezig, dan werd een exploit bedoeld om de computer van de gebruiker te infecteren niet uitgevoerd.

Het gebruik van IE voor verkenningsaanvallen is echter niet alleen aan partijen voorbehouden die gerichte aanvallen op organisaties uitvoeren. Een maand nadat de code bekend werd waardoor er informatie over de software op een systeem kan worden opgevraagd, verscheen die ook in een exploitkit die "doorsnee" cybercriminelen gebruiken. Daardoor controleert deze exploitkit nu op de aanwezigheid van bepaalde virusscanners. Of ook andere browsers voor dit soort verkenningsaanvallen kwetsbaar zijn laat Blasco niet weten.

Reacties (2)
27-07-2014, 21:12 door Anoniem
Tsja,wie gebruikt er nog steeds IE? Ik zo weinig mogelijk.Niet dat Chrome enFirefox echt heel veel veiliger zijn.Ik krijg steeds meer de neiging om uit te kijken naar andere browsers dan de bekende 4 (IE,Chrome,Firefox en Opera). Weet iemand een veilige alternatieve browser voor windows?
28-07-2014, 07:31 door Anoniem
Echt oliedom is: Zelf geen onderzoek doen waar het over gaat.
Ik vind http://www.alienvault.com/resource-center/product-documentation
Dat is een bedrijfje dat zich richt op SIEM en daar producten voor verkoopt.

Nu is SIEM iets wat je zou moeten doen als je security van je omgeving serieus neemt. Het komt na het goed inrichting (hardened) inrichten.
Aangezien SIEM als kostenpost wordt gezien wordt dat meestal niet gedaan. Het niet herkennen van een DDOS aanval (ING) is een signaal.

Java is ook berucht om de zelfde soort "krachtige" functionaliteit. Moeten we ook maar meteen niet meer doen. Alles met java erin niet meer gebruiken (cynisch bedoeld want dat gaat niet op).

Gaan we nu overal SIEM inrichten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.