Nieuws

Malware misbruikt DRM in Windows Media Player

maandag 3 juni 2013, 14:34 door Redactie, 9 reacties

De kopieerbeveiliging in Windows Media Player wordt door criminelen gebruikt om Windows-gebruikers via kwaadaardige videobestanden met malware te infecteren. Het Advanced Systems Format (ASF) is een door Microsoft ontwikkeld formaat, waarin de structuur van een audio- en videostream wordt beschreven. Ook is er een framework voor digital right management (DRM) aanwezig.

Dit moet voorkomen dat de stream wordt gekopieerd. Bestanden die dit formaat gebruiken hebben vaak een wmv, wma of mp3 extensie. De Windows Media Rights Manager maakt het mogelijk om mediacontent op zo'n manier te beschermen dat als de gebruiker een bestand wil afspelen waarvoor een geldige licentie ontbreekt, Windows Media Player een URL van de contentaanbieder zal tonen.

Media
Dit maakt het echter mogelijk voor aanvallers om kwaadaardige mediabestanden te maken die vervolgens een kwaadaardige website laden zodra het bestand wordt geopend. Zo worden op Usnet en P2P-netwerken bestanden aangeboden die zich als populaire films voordoen, maar in werkelijkheid kwaadaardige URL's downloaden.

De tactiek wordt al lange tijd door cybercriminelen gebruikt, maar is nog steeds effectief, ook tegen de nieuwste versies van Media Player. Online virusscanner VirusTotal ontdekte onlangs weer een ASF-bestand dat gebruikers naar een website stuurt waar een video plug-in wordt aangeboden. In werkelijkheid is dit adware.

Check
VirusTotal testte de tactiek tegen Windows Media Player 11 en 12 en ontdekte dat de aanval nog steeds werkt. Er was na het openen van het bestand geen verdere interactie van de gebruiker nodig. Om internetgebruikers voor kwaadaardige ASF-bestanden te waarschuwen is de online virusscanner nu van een apart tabblad met ASF-informatie voorzien.

VirusTotal is een online scandienst die de 'engines' van zo'n 40 virusscanners gebruikt om bestanden te controleren. Het wordt dan ook vaak als 'second opinion' gebruikt. VirusTotal werd vorig jaar door Google overgenomen.

Journalisten klikken massaal op phishingmail

McAfee: Nederland hofleverancier cybercrime

Reacties (9)

03-06-2013, 15:08 door Anoniem

Kortom, krijg je zo'n pop-up dan is de beste oplossing:

- venster sluiten
- bestand wissen

Ook als het wel een link is naar een betrouwbare site en correcte software, dan is dit de beste methode.

Koop je een bestand, dan moet de leverancier meteen alles erbij leveren en krijg je na het installeren hiervan nog zo'n pop-up, dan moet je contact met de leverancier opnemen, want uit het oogpunt van veiligheid moet dit niet voorkomen.

03-06-2013, 15:53 door [Account Verwijderd]

[Verwijderd]

03-06-2013, 17:16 door Anoniem

Ach als hackers naar binnen willen vinden ze toch wel een weg.Windows is een grote gatenkaas en de rest vd software adobe,java,etc is ook gatenkaas.Zelfs beveiligingssoftware bevat gaten/lekken/kwetsbaarheden.En die laatste moet ons pc/internetgebruikers beschermen!

03-06-2013, 17:38 door Spiff has left the building

Door Windmolentje:
Weet iemand hoe Windows mediaplayer zo geconfigureerd kan worden dat er geen ASF-bestanden kunnen worden uitgevoerd? Ik heb al gegoogled maar niets specifiek gevonden. Het gaat om mediaplayer 12.

Niet in Windows Media Player, maar via Windows Configruatiescherm de instellingen voor Standaardprogramma's aanpassen, voor Windows Media Player het vinkje weghalen voor asf-files.
Wanneer je een ander programma hebt ingesteld als standaard-mediaplayer (zoals bijvoorbeeld VLC media player, of GOM Player) dan is het afspelen van asf-files waarschijnlijk al daarmee gekoppeld en niet meer met Windows Media Player. Je kunt in dat geval zo nodig nog even controleren met welk programma het afspelen van asf-files precies is gekoppeld. Je kunt dat eveneens via het Windows Configruatiescherm bekijken, in het overzicht van alle koppelingen van bestandstypes met programma's.

03-06-2013, 18:19 door [Account Verwijderd]

[Verwijderd]

03-06-2013, 20:02 door Anoniem

Hoewel ik met mijn Mac's niet zo'n last heb van het 'ASf fenomeen' vraag ik me af of het probleem niet wat breder is of nog kan worden dan het nu wordt voorgesteld.

* Als het ASF formaat een container is die het mogelijk maakt extra DRM metadata toe te voegen met desgewenst een link/verwijzing. Dan geldt deze social engineering kwetsbaarheid toch ook voor de DRM ondersteunende WMA en WMV containerformaten?

Dan is blocken een wat ongelukkige oplossing en blijft er waarschijnlijk wat weinig (PC) media plezier over.
Zinniger lijkt het dan automatische doorverwijzingen binnen de browser en of pop ups te onderscheppen / beheren met een extra addon als No-script (maar die is er geloof ik niet voor IE?, pop ups blocken dan?).

De tactiek wordt al lange tijd door cybercriminelen gebruikt, maar is nog steeds effectief,

* Hoogst opmerkelijk dan dat dit niet ook toegepast wordt voor/bij Mac gebruikers.
Die zullen (aanname) wellicht eerder ingaan op een melding vanwege een ontbrekende plugin (mochten ze Flip4mac, Perian (ontwikkeling gestopt) of een hele player als VLC nog niet geïnstalleerd hebben).

* Algemeen advies : ga niet in op pop-up meldingen totdat je weet welk proces dit heeft gestart. Elke webdesigner kan een overtuigende fake-pop-up laten poppen op een webpagina.
Als geadviseerd hierboven : - venster sluiten, i.p.v.. bijv. op buttons te klikken want 'Nee' kan ook 'Ja' zijn, 'Nee' geklikt en toch op op die site!

Bedenk dat juist media player plugins en video codec's 'het meest' misbruikt worden voor malware purposes.

Hekel aan meldingen noteren?
Maak er gewoon een fotootje van en zoek het later eens uit (nieuwe browser sessie!) door naar de site te gaan van de eigen software leverancier (Ms for MS producten, Adobe..,Apple.. etc., etc.).

04-06-2013, 06:46 door Anoniem

Het lijkt me dat er ook wel software bestaat waarmee je alle onzin (zoals url's) uit videobestanden kunt verwijderen.
Gewoon alle gedownloade videobestanden even strippen dus, voor het afspelen.
En gewoon VLC gebruiken, niet de mediaplayer.

04-06-2013, 15:28 door Anoniem

Weer een duidelijk voorbeeld dat DRM een ramp is voor de gebruiker, en dat het de klant (de "recht" krom-hebbende) niets kan schelen. Deze hele kwetsbaarheid kan niet bestaan zonder het drm-gebeuren dat technisch gezien onzinnig is.
Gebruikt iemand ooit dit verschrikkelijke Microsoft video formaat?
Overigens, VLC Mediaplayer had al maanden geleden openheid over exploits door gemanipuleerde .asf bestanden.

06-06-2013, 11:37 door Anoniem

Het grootste beveiligings lek zit tussen het toetsenbord en de rugleuning.
Als gebruikers gewoon iets beter na denken, niet naar rare websites gaan en niet overal maar ja op klikken zou dat al een groot deel van de problemen schelen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer