Facebook gehackt via Java zero-day-lek
Facebook is het doelwit van aanvallers geworden die de laptops van werknemers via een voorheen onbekend beveiligingslek in Java met malware infecteerden. Dat laat de sociale netwerksite op de eigen website weten. De 'geraffineerde aanval' vond plaats toen een 'handvol' werknemers een website voor mobiele ontwikkelaars bezocht.
Deze website was gehackt en voorzien van een exploit, die misbruik van een 'zero-day' kwetsbaarheid in Java maakte. Zero-days zijn lekken waarvoor nog geen beveiligingsupdate beschikbaar is. Facebook stelt dat de laptops van de werknemers op het moment van de aanval volledig gepatcht waren en over een volledig bijgewerkte virusscanner beschikten.
Domein
De aanval werd opgemerkt toen er een verdacht domein in de zakelijke DNS logs van het bedrijf werd gevonden. Uiteindelijk werd de verdachte melding in de logs naar de laptop van een werknemer getraceerd. Tijdens het forensisch onderzoek werd een kwaadaardig bestand ontdekt, dat na verder onderzoek ook op andere laptops werd aangetroffen.
Vervolgens werd de malware van alle computers verwijderd, justitie ingelicht en begon er een vervolgonderzoek dat nog altijd gaande is. De zero-day die was gebruikt wist de Java-sandbox te omzeilen om malware te installeren. Het lek werd meteen aan Oracle gerapporteerd, dat op 1 februari met een noodpatch kwam.
Slachtoffers
Facebook zegt dat het niet de enige was die op deze manier is aangevallen. Ook andere organisaties zouden via het lek zijn aangevallen en geïnfiltreerd. "Als één van de eerste bedrijven om de malware te ontdekken, hebben we meteen stappen genomen om de details over de infiltratie met andere bedrijven en entiteiten te delen die ook waren getroffen."
Volgens de sociale netwerksite is er geen bewijs gevonden dat de aanvallers gebruikersgegevens hebben buitgemaakt. Wie de andere bedrijven zijn laat Facebook niet weten, maar op 1 februari bekende Twitter dat het was gehackt en de gegevens van 250.000 gebruikers mogelijk waren buitgemaakt.
Hoewel het niets over de werkwijze van de aanvallers vertelde, adviseerde Twitter in de waarschuwing wel om Java in de browser uit te schakelen.
In januari vonden er verschillende 'drinkplaats-aanvallen' plaats, waarbij aanvallers websites hacken die potentiële slachtoffers uit zichzelf bezoeken. Hierdoor hoeven de aanvallers geen gerichte e-mail te versturen om daarin slachtoffers te verleiden om een bijlage of link te openen. Bij deze aanvallen werden ook Java-lekken ingezet.
Advertentie
In plaats van een 'geraffineerde aanval' zouden de Facebook-werknemers mogelijk via een besmette advertentie zijn geïnfecteerd. Aanvallers verstoppen hierbij exploitcode voor een beveiligingslek in advertenties. Door die advertenties op legitieme websites te laten draaien, al dan niet door het hacken van advertentieservers, kunnen de aanvallers een grote groep internetgebruikers bereiken.
Die worden automatisch aangevallen zodra de advertentiebanner op de website verschijnt. Het voordeel voor de aanvallers is dat ze geen websites hoeven te hacken om toch veel internetgebruikers te bereiken. Dit wordt ook wel malvertising genoemd.
Volgens Kimberly van Stop Malvertising is de mobiele ontwikkelaarssite waar Facebook over spreekt mogelijk www.dreamincode.net. Deze website was van code voorzien die naar ads.adsgoogleads.com wees. Een domein dat eerder internetgebruikers via exploits infecteerde. Kimberly sluit dan ook niet uit dat het hier om malvertising gaat.
Update 8:30 - advertentie paragraaf toegevoegd
Voordat mensen weer vragen stellen over Java versus JavaScript: JavaScript zit tussen de HTML code die de webbrowser verwerkt. Java Applets zijn, net als Flash animaties en PDF documenten, losse bestanden die worden gedownload (opdrachten daartoe staan wel in de HMTL en of JavaScript code) en vervolgens door plugins in je webbrowser worden verwerkt.
Al die plugins zijn gratis en kennelijk moet dat betekenen dat ze allemaal zo lek zijn als een mandje (bij PDF is het niet zozeer de Adobe plugin zelf, maar de hele Adobe Reader waar voortdurend lekken in worden gevonden).
Om Java programma's op je PC te kunnen uitvoeren heb je een zogenaamde run-time omgeving nodig, net als Microsoft dotNet dat is. Het probleem met Java is dat als je deze installeert omdat je in Java geschreven programma's op je PC wilt draaien, er ongevraagd ook een plugin in alle webbrowsers op je PC wordt geïnstalleerd.
Als je Java support in webbrowsers uitzet, en je update Java, dan is mijn ervaring dat die plugin weer wordt aangezet. Bijzonder onverstandig en onacceptabel wat mij betreft.
Al die plugins zijn gratis en kennelijk moet dat betekenen dat ze allemaal zo lek zijn als een mandje (bij PDF is het niet zozeer de Adobe plugin zelf, maar de hele Adobe Reader waar voortdurend lekken in worden gevonden).
Het probleem is dat de makers van plugins niet kunnen stoppen met features inbouwen.
PDF was een leuk idee toen het bedacht werd. Een standaard voor pagina opmaak, zodat je dingen die je normaal
als drukwerk krijgt in een portable format kunt ophalen, bekijken en afdrukken.
Het was al wel een beetje griezelig dat het PDF document in feite een programma was waarmee de PDF reader
the pagina opbouwt (geschreven in PostScript), maar dat was nog wel in de hand te houden als je de interpreter
voor PostScript geen mogelijkheden gaf om het het systeem te communiceren. En dat was ook niet nodig.
Toen werkte het goed en DAAR HAD MEN MOETEN STOPPEN.
Maar nee, featurism. Wat nou als we ook invulformulieren erbij maken. Een die formulieren kunnen beter werken
als we er Javascript bijmaken. En we hebben net Macromedia overgenomen, laten we het mogelijk maken om
ook Flash in PDF files te stoppen. En zo ging dat maar door. Het oorspronkelijke doel werd ver voorbijgeschoten.
DAT is de reden dat Adobe Reader uiteindelijk zo wanstaltig groot werd en helemaal vol zit met lekken.
Gewoon omdat de commerciele mensen er steeds maar meer features in gepropt hebben die helemaal niet
nodig waren voor de functionaliteit die de mensen verwachten.
Ze moeten zich niet laten sturen door featurism en overnames maar door technische requirements, dan wordt
het wel beter.
Dit is ook de reden dat die "slanke" PDF viewers in het begin beter waren. Maar dat is nu steeds minder aan het
worden omdat die concurrenten stuk voor stuk dezelfde features inbouwen, anders gaan de klanten jengelen dat
ze een PDF gevonden hebben die niet werkt in hun reader...
Je ziet ditzelfde probleem overigens in tal van paketten terug.
In Microsoft Office kun je ook Flash objecten invoegen en met hetzelfde probleem as gevolg.
Als je Java support in webbrowsers uitzet, en je update Java, dan is mijn ervaring dat die plugin weer wordt aangezet.
maar sinds Java-versie 7 update 10 bestaat naast het uitschakelen van de Java browser-plugin in de browser(s) tevens nog een nieuwe optie om de Java browser-plugin uit te schakelen,
het uitschakelen van de Java browser-plugin via het Java Control Panel.
Zie:
http://www.java.com/nl/download/help/disable_browser.xml
Het zou waardevol zijn wanneer iemand eens zou kunnen testen of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel mogelijk zou kunnen voorkomen dat de Java browser-plugin weer automatisch inschakelt na elke Java-update(??), of dat ook met deze methode de Java browser-plugin nog steeds automatisch weer inschakelt na een Java-update en dat het dus niks uitmaakt.
Ik heb vooralsnog geen idee, maar het zou mijns inziens zeer nuttig zijn om te weten.
Mijn indruk is dat na een Java update ALLE eerder gewijzigde instellingen verloren gaan.
Ik erger me bijv groen en geel aan het feit dat ook de Update frequentie niet vastgehouden wordt.
Zet je deze op Daily, staat ie geheid na een Java Update op Monthly (Let op. Checkt wel iedere WEEK
voor updates maar met notificatie binnen een MAAND. Wie dit verzonnen heeft mag van mij op staande
voet ontslagen worden).
Ik heb sterk de indruk dat Oracle Java installeert/update zonder behoud van (alle) persoonlijke instellingen.
Naar mijn mening (maar ik kan er ook naast zitten) een grote tekortkoming.
De default waarde van Monthly (Checkt iedere WEEK voor updates maar met notificatie binnen een MAAND)
werkt het tijdig updaten van Java niet in de hand...
Oracle zou er goed aan doen:
a. gebruikersinstellingen te behouden tijdens een Java update.
b. de Update frequentie default op Daily te zetten.
Waarschijnlijker is dat de aanvallers een domein hebben gekozen dat veel op een legitiem domein lijkt zodat het minder opvalt in logbestanden.
Het probleem is dat de makers van plugins niet kunnen stoppen met features inbouwen.
[...] Dit is ook de reden dat die "slanke" PDF viewers in het begin beter waren. Maar dat is nu steeds minder aan het
worden omdat die concurrenten stuk voor stuk dezelfde features inbouwen, anders gaan de klanten jengelen dat
ze een PDF gevonden hebben die niet werkt in hun reader.
Mijn indruk is dat na een Java update ALLE eerder gewijzigde instellingen verloren gaan.
Heb je specifiek daarmee ook ervaring, dat ook die instelling via het Java Control Panel om de Java browser-plugin uit te schakelen verloren gaat bij updaten?
Oh, wacht even, misschien de andere getroffen bedrijven...
Zodra de volgende Java update (19 Feb als ik me niet vergis) komt dan weten we het zeker vwb de instelling van het uitschakelen van de Java browser-plugin via het Java Control Panel ...
Zodra de volgende Java update (19 Feb als ik me niet vergis) komt dan weten we het zeker vwb de instelling van het uitschakelen van de Java browser-plugin via het Java Control Panel
Of in een forum-thread, met verwijzing naar deze thread?
Dat zou heel mooi zijn.
Alvast heel hartelijk bedankt.
Toen ik de "Enable Java content in the browser" checkbox onder de Security tab uitzette (ik had hier eerlijk gezegd nog niet mee gespeeld) viel me op dat er een melding wordt gegeven dat de instelling pas van kracht is na het sluiten en opnieuw starten van de (internet) browser(s).
De exacte melding is:
Changes to enable or disable Java content in the browser will take effect after restarting the browser(s).
Dit deed mij al vermoeden dat deze wijziging wel eens permanent zou kunnen zijn.
En na het updaten naar Java 7 update 15 bleek dit inderdaad het geval. Java (plugin) is nog steeds uitgeschakeld.
(Getest onder Win XP Professional SP3).
Sinds Java-versie 7 update 10 bestaat naast het uitschakelen van de Java browser-plugin in de browser(s) tevens nog een nieuwe optie om de Java browser-plugin uit te schakelen,
het uitschakelen van de Java browser-plugin via het Java Control Panel.
Zie:
http://www.java.com/nl/download/help/disable_browser.xml
Het zou waardevol zijn wanneer iemand eens zou kunnen testen of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel mogelijk zou kunnen voorkomen dat de Java browser-plugin weer automatisch inschakelt na elke Java-update), of dat ook met deze methode de Java browser-plugin nog steeds automatisch weer inschakelt na een Java-update en dat het dus niks uitmaakt.
Ik heb vooralsnog geen idee, maar het zou mijns inziens zeer nuttig zijn om te weten.
Toen ik de "Enable Java content in the browser" checkbox onder de Security tab uitzette (ik had hier eerlijk gezegd nog niet mee gespeeld) viel me op dat er een melding wordt gegeven dat de instelling pas van kracht is na het sluiten en opnieuw starten van de (internet) browser(s).
De exacte melding is:
Changes to enable or disable Java content in the browser will take effect after restarting the browser(s).
Dit deed mij al vermoeden dat deze wijziging wel eens permanent zou kunnen zijn.
En na het updaten naar Java 7 update 15 bleek dit inderdaad het geval.
Java (plugin) is nog steeds uitgeschakeld.
(Getest onder Win XP Professional SP3).
Waardevol nieuws!
Dankjewel, Anoniem.
Zou je het ook na een volgende Java-update nog eens willen controleren en willen terugmelden?
En het zou fijn zijn wanneer ook andere Java-gebruikers dit mechanisme zouden willen uitproberen en zouden willen aangeven of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel ook op hun systemen voorkomt dat de Java browser-plugin weer automatisch inschakelt na een Java-update.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
