image

Facebook gehackt via Java zero-day-lek

zaterdag 16 februari 2013, 08:01 door Redactie, 14 reacties

Facebook is het doelwit van aanvallers geworden die de laptops van werknemers via een voorheen onbekend beveiligingslek in Java met malware infecteerden. Dat laat de sociale netwerksite op de eigen website weten. De 'geraffineerde aanval' vond plaats toen een 'handvol' werknemers een website voor mobiele ontwikkelaars bezocht.

Deze website was gehackt en voorzien van een exploit, die misbruik van een 'zero-day' kwetsbaarheid in Java maakte. Zero-days zijn lekken waarvoor nog geen beveiligingsupdate beschikbaar is. Facebook stelt dat de laptops van de werknemers op het moment van de aanval volledig gepatcht waren en over een volledig bijgewerkte virusscanner beschikten.

Domein
De aanval werd opgemerkt toen er een verdacht domein in de zakelijke DNS logs van het bedrijf werd gevonden. Uiteindelijk werd de verdachte melding in de logs naar de laptop van een werknemer getraceerd. Tijdens het forensisch onderzoek werd een kwaadaardig bestand ontdekt, dat na verder onderzoek ook op andere laptops werd aangetroffen.

Vervolgens werd de malware van alle computers verwijderd, justitie ingelicht en begon er een vervolgonderzoek dat nog altijd gaande is. De zero-day die was gebruikt wist de Java-sandbox te omzeilen om malware te installeren. Het lek werd meteen aan Oracle gerapporteerd, dat op 1 februari met een noodpatch kwam.

Slachtoffers
Facebook zegt dat het niet de enige was die op deze manier is aangevallen. Ook andere organisaties zouden via het lek zijn aangevallen en geïnfiltreerd. "Als één van de eerste bedrijven om de malware te ontdekken, hebben we meteen stappen genomen om de details over de infiltratie met andere bedrijven en entiteiten te delen die ook waren getroffen."

Volgens de sociale netwerksite is er geen bewijs gevonden dat de aanvallers gebruikersgegevens hebben buitgemaakt. Wie de andere bedrijven zijn laat Facebook niet weten, maar op 1 februari bekende Twitter dat het was gehackt en de gegevens van 250.000 gebruikers mogelijk waren buitgemaakt.

Hoewel het niets over de werkwijze van de aanvallers vertelde, adviseerde Twitter in de waarschuwing wel om Java in de browser uit te schakelen.

In januari vonden er verschillende 'drinkplaats-aanvallen' plaats, waarbij aanvallers websites hacken die potentiële slachtoffers uit zichzelf bezoeken. Hierdoor hoeven de aanvallers geen gerichte e-mail te versturen om daarin slachtoffers te verleiden om een bijlage of link te openen. Bij deze aanvallen werden ook Java-lekken ingezet.

Advertentie
In plaats van een 'geraffineerde aanval' zouden de Facebook-werknemers mogelijk via een besmette advertentie zijn geïnfecteerd. Aanvallers verstoppen hierbij exploitcode voor een beveiligingslek in advertenties. Door die advertenties op legitieme websites te laten draaien, al dan niet door het hacken van advertentieservers, kunnen de aanvallers een grote groep internetgebruikers bereiken.

Die worden automatisch aangevallen zodra de advertentiebanner op de website verschijnt. Het voordeel voor de aanvallers is dat ze geen websites hoeven te hacken om toch veel internetgebruikers te bereiken. Dit wordt ook wel malvertising genoemd.

Volgens Kimberly van Stop Malvertising is de mobiele ontwikkelaarssite waar Facebook over spreekt mogelijk www.dreamincode.net. Deze website was van code voorzien die naar ads.adsgoogleads.com wees. Een domein dat eerder internetgebruikers via exploits infecteerde. Kimberly sluit dan ook niet uit dat het hier om malvertising gaat.

Update 8:30 - advertentie paragraaf toegevoegd

Reacties (14)
16-02-2013, 08:11 door [Account Verwijderd]
[Verwijderd]
16-02-2013, 11:44 door Erik van Straten
Inderdaad, Facebook gehackt via Java browser plug-in zero-day-lek.

Door Krakatau: (het wordt tijd dat Oracle die Java browser plug-in anders gaat noemen (bv. 'please-disable-me'), om te voorkomen dat verwarring door onzorgvuldige berichtgeving onstaat).
Klopt, maar belangrijk is de consequentie, namelijk dat Java als programmeertaal steeds verder in diskrediet raakt en dat verdient het m.i. niet.

Voordat mensen weer vragen stellen over Java versus JavaScript: JavaScript zit tussen de HTML code die de webbrowser verwerkt. Java Applets zijn, net als Flash animaties en PDF documenten, losse bestanden die worden gedownload (opdrachten daartoe staan wel in de HMTL en of JavaScript code) en vervolgens door plugins in je webbrowser worden verwerkt.

Al die plugins zijn gratis en kennelijk moet dat betekenen dat ze allemaal zo lek zijn als een mandje (bij PDF is het niet zozeer de Adobe plugin zelf, maar de hele Adobe Reader waar voortdurend lekken in worden gevonden).

Om Java programma's op je PC te kunnen uitvoeren heb je een zogenaamde run-time omgeving nodig, net als Microsoft dotNet dat is. Het probleem met Java is dat als je deze installeert omdat je in Java geschreven programma's op je PC wilt draaien, er ongevraagd ook een plugin in alle webbrowsers op je PC wordt geïnstalleerd.

Als je Java support in webbrowsers uitzet, en je update Java, dan is mijn ervaring dat die plugin weer wordt aangezet. Bijzonder onverstandig en onacceptabel wat mij betreft.
16-02-2013, 12:22 door Anoniem
Door Erik van Straten:
Al die plugins zijn gratis en kennelijk moet dat betekenen dat ze allemaal zo lek zijn als een mandje (bij PDF is het niet zozeer de Adobe plugin zelf, maar de hele Adobe Reader waar voortdurend lekken in worden gevonden).

Het probleem is dat de makers van plugins niet kunnen stoppen met features inbouwen.
PDF was een leuk idee toen het bedacht werd. Een standaard voor pagina opmaak, zodat je dingen die je normaal
als drukwerk krijgt in een portable format kunt ophalen, bekijken en afdrukken.
Het was al wel een beetje griezelig dat het PDF document in feite een programma was waarmee de PDF reader
the pagina opbouwt (geschreven in PostScript), maar dat was nog wel in de hand te houden als je de interpreter
voor PostScript geen mogelijkheden gaf om het het systeem te communiceren. En dat was ook niet nodig.

Toen werkte het goed en DAAR HAD MEN MOETEN STOPPEN.
Maar nee, featurism. Wat nou als we ook invulformulieren erbij maken. Een die formulieren kunnen beter werken
als we er Javascript bijmaken. En we hebben net Macromedia overgenomen, laten we het mogelijk maken om
ook Flash in PDF files te stoppen. En zo ging dat maar door. Het oorspronkelijke doel werd ver voorbijgeschoten.

DAT is de reden dat Adobe Reader uiteindelijk zo wanstaltig groot werd en helemaal vol zit met lekken.
Gewoon omdat de commerciele mensen er steeds maar meer features in gepropt hebben die helemaal niet
nodig waren voor de functionaliteit die de mensen verwachten.
Ze moeten zich niet laten sturen door featurism en overnames maar door technische requirements, dan wordt
het wel beter.

Dit is ook de reden dat die "slanke" PDF viewers in het begin beter waren. Maar dat is nu steeds minder aan het
worden omdat die concurrenten stuk voor stuk dezelfde features inbouwen, anders gaan de klanten jengelen dat
ze een PDF gevonden hebben die niet werkt in hun reader...

Je ziet ditzelfde probleem overigens in tal van paketten terug.
In Microsoft Office kun je ook Flash objecten invoegen en met hetzelfde probleem as gevolg.
16-02-2013, 13:54 door Spiff has left the building
Door Erik van Straten:
Als je Java support in webbrowsers uitzet, en je update Java, dan is mijn ervaring dat die plugin weer wordt aangezet.
Erik, ik gebruik geen Java meer, en ik heb het volgende niet getest,
maar sinds Java-versie 7 update 10 bestaat naast het uitschakelen van de Java browser-plugin in de browser(s) tevens nog een nieuwe optie om de Java browser-plugin uit te schakelen,
het uitschakelen van de Java browser-plugin via het Java Control Panel.
Zie:
http://www.java.com/nl/download/help/disable_browser.xml

Het zou waardevol zijn wanneer iemand eens zou kunnen testen of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel mogelijk zou kunnen voorkomen dat de Java browser-plugin weer automatisch inschakelt na elke Java-update(??), of dat ook met deze methode de Java browser-plugin nog steeds automatisch weer inschakelt na een Java-update en dat het dus niks uitmaakt.
Ik heb vooralsnog geen idee, maar het zou mijns inziens zeer nuttig zijn om te weten.
16-02-2013, 14:52 door Anoniem
@Spiff
Mijn indruk is dat na een Java update ALLE eerder gewijzigde instellingen verloren gaan.
Ik erger me bijv groen en geel aan het feit dat ook de Update frequentie niet vastgehouden wordt.
Zet je deze op Daily, staat ie geheid na een Java Update op Monthly (Let op. Checkt wel iedere WEEK
voor updates maar met notificatie binnen een MAAND. Wie dit verzonnen heeft mag van mij op staande
voet ontslagen worden).

Ik heb sterk de indruk dat Oracle Java installeert/update zonder behoud van (alle) persoonlijke instellingen.
Naar mijn mening (maar ik kan er ook naast zitten) een grote tekortkoming.

De default waarde van Monthly (Checkt iedere WEEK voor updates maar met notificatie binnen een MAAND)
werkt het tijdig updaten van Java niet in de hand...

Oracle zou er goed aan doen:
a. gebruikersinstellingen te behouden tijdens een Java update.
b. de Update frequentie default op Daily te zetten.
16-02-2013, 15:12 door 0101
Door Redactie: mogelijk via een besmette advertentie zijn geïnfecteerd. Aanvallers verstoppen hierbij exploitcode voor een beveiligingslek in advertenties. Door die advertenties op legitieme websites te laten draaien, al dan niet door het hacken van advertentieservers, kunnen de aanvallers een grote groep internetgebruikers bereiken.
Door Redactie:Volgens Kimberly van Stop Malvertising is de mobiele ontwikkelaarssite waar Facebook over spreekt mogelijk www.dreamincode.net. Deze website was van code voorzien die naar ads.adsgoogleads.com wees. Een domein dat eerder internetgebruikers via exploits infecteerde. Kimberly sluit dan ook niet uit dat het hier om malvertising gaat.
Dit domein is duidelijk niet van Google. (http://whois.domaintools.com/adsgoogleads.com). Het lijkt me dan ook onwaarschijnlijk dat het hier om een kwaadaardige advertentie gaat.

Waarschijnlijker is dat de aanvallers een domein hebben gekozen dat veel op een legitiem domein lijkt zodat het minder opvalt in logbestanden.
16-02-2013, 17:25 door Spiff has left the building
Door Anoniem, 12:22 uur:
Het probleem is dat de makers van plugins niet kunnen stoppen met features inbouwen.
[...] Dit is ook de reden dat die "slanke" PDF viewers in het begin beter waren. Maar dat is nu steeds minder aan het
worden omdat die concurrenten stuk voor stuk dezelfde features inbouwen, anders gaan de klanten jengelen dat
ze een PDF gevonden hebben die niet werkt in hun reader.
Inderdaad. Het is off-topic bij Java, maar wat pdf betreft, ikzelf gebruik onder Windows nu nog graag PDF-XChange Viewer. Wanneer daarin de mogelijkheid tot het uitvoeren van JavaScript acties en "File Open and Program Launch Actions" wordt uitgeschakeld, dan is het een geweldig programma. Maar bij Tracker Software wordt momenteel gewerkt aan versie 3.0, met onder meer ingebouwde Flash ondersteuning. Ik houd m'n hart vast! Wellicht is ook die ingebouwde Flash ondersteuning uit te schakelen, maar voor wie dat niet doet creëert het nieuwe potentiële risico's.
16-02-2013, 17:29 door Spiff has left the building
Door Anoniem, 14:52 uur:
Mijn indruk is dat na een Java update ALLE eerder gewijzigde instellingen verloren gaan.
Dus ook het uitschakelen van de Java browser-plugin via het Java Control Panel, dat ik noemde om 13:54 uur, bedoel je?
Heb je specifiek daarmee ook ervaring, dat ook die instelling via het Java Control Panel om de Java browser-plugin uit te schakelen verloren gaat bij updaten?
16-02-2013, 23:03 door Anoniem
Is er nou helemaal geen security software die ons pc-en internetgebruikers tegen al deze malware en ongein kan beschermen!? Zelfs Norton en Kaspersky en Bitdefender kunnen onze pc's niet tegen deze malware beschermen!?
17-02-2013, 08:24 door Anoniem
Alles wat je op tracebook zet ligt toch op straat. Wat is het probleem?
Oh, wacht even, misschien de andere getroffen bedrijven...
17-02-2013, 09:44 door Anoniem
@Spiff
Zodra de volgende Java update (19 Feb als ik me niet vergis) komt dan weten we het zeker vwb de instelling van het uitschakelen van de Java browser-plugin via het Java Control Panel ...
17-02-2013, 14:08 door Spiff has left the building
Door Anoniem, 09:44 uur:
Zodra de volgende Java update (19 Feb als ik me niet vergis) komt dan weten we het zeker vwb de instelling van het uitschakelen van de Java browser-plugin via het Java Control Panel
Wil jij dan in deze thread je ervaring melden?
Of in een forum-thread, met verwijzing naar deze thread?
Dat zou heel mooi zijn.
Alvast heel hartelijk bedankt.
19-02-2013, 21:45 door Anoniem
@Spiff
Toen ik de "Enable Java content in the browser" checkbox onder de Security tab uitzette (ik had hier eerlijk gezegd nog niet mee gespeeld) viel me op dat er een melding wordt gegeven dat de instelling pas van kracht is na het sluiten en opnieuw starten van de (internet) browser(s).

De exacte melding is:

Changes to enable or disable Java content in the browser will take effect after restarting the browser(s).

Dit deed mij al vermoeden dat deze wijziging wel eens permanent zou kunnen zijn.

En na het updaten naar Java 7 update 15 bleek dit inderdaad het geval. Java (plugin) is nog steeds uitgeschakeld.

(Getest onder Win XP Professional SP3).
20-02-2013, 12:39 door Spiff has left the building
Door Spiff, za.16-2, 13:54 uur:
Sinds Java-versie 7 update 10 bestaat naast het uitschakelen van de Java browser-plugin in de browser(s) tevens nog een nieuwe optie om de Java browser-plugin uit te schakelen,
het uitschakelen van de Java browser-plugin via het Java Control Panel.
Zie:
http://www.java.com/nl/download/help/disable_browser.xml

Het zou waardevol zijn wanneer iemand eens zou kunnen testen of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel mogelijk zou kunnen voorkomen dat de Java browser-plugin weer automatisch inschakelt na elke Java-update), of dat ook met deze methode de Java browser-plugin nog steeds automatisch weer inschakelt na een Java-update en dat het dus niks uitmaakt.
Ik heb vooralsnog geen idee, maar het zou mijns inziens zeer nuttig zijn om te weten.

Door Anoniem, gisteren, di.19-2, 21:45 uur:
Toen ik de "Enable Java content in the browser" checkbox onder de Security tab uitzette (ik had hier eerlijk gezegd nog niet mee gespeeld) viel me op dat er een melding wordt gegeven dat de instelling pas van kracht is na het sluiten en opnieuw starten van de (internet) browser(s).

De exacte melding is:
Changes to enable or disable Java content in the browser will take effect after restarting the browser(s).

Dit deed mij al vermoeden dat deze wijziging wel eens permanent zou kunnen zijn.

En na het updaten naar Java 7 update 15 bleek dit inderdaad het geval.
Java (plugin) is nog steeds uitgeschakeld.

(Getest onder Win XP Professional SP3).

Waardevol nieuws!
Dankjewel, Anoniem.

Zou je het ook na een volgende Java-update nog eens willen controleren en willen terugmelden?

En het zou fijn zijn wanneer ook andere Java-gebruikers dit mechanisme zouden willen uitproberen en zouden willen aangeven of die nieuwe optie om de Java browser-plugin uit te schakelen via het Java Control Panel ook op hun systemen voorkomt dat de Java browser-plugin weer automatisch inschakelt na een Java-update.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.