Malware misbruikt DRM in Windows Media Player
De kopieerbeveiliging in Windows Media Player wordt door criminelen gebruikt om Windows-gebruikers via kwaadaardige videobestanden met malware te infecteren. Het Advanced Systems Format (ASF) is een door Microsoft ontwikkeld formaat, waarin de structuur van een audio- en videostream wordt beschreven. Ook is er een framework voor digital right management (DRM) aanwezig.
Dit moet voorkomen dat de stream wordt gekopieerd. Bestanden die dit formaat gebruiken hebben vaak een wmv, wma of mp3 extensie. De Windows Media Rights Manager maakt het mogelijk om mediacontent op zo'n manier te beschermen dat als de gebruiker een bestand wil afspelen waarvoor een geldige licentie ontbreekt, Windows Media Player een URL van de contentaanbieder zal tonen.
Media
Dit maakt het echter mogelijk voor aanvallers om kwaadaardige mediabestanden te maken die vervolgens een kwaadaardige website laden zodra het bestand wordt geopend. Zo worden op Usnet en P2P-netwerken bestanden aangeboden die zich als populaire films voordoen, maar in werkelijkheid kwaadaardige URL's downloaden.
De tactiek wordt al lange tijd door cybercriminelen gebruikt, maar is nog steeds effectief, ook tegen de nieuwste versies van Media Player. Online virusscanner VirusTotal ontdekte onlangs weer een ASF-bestand dat gebruikers naar een website stuurt waar een video plug-in wordt aangeboden. In werkelijkheid is dit adware.
Check
VirusTotal testte de tactiek tegen Windows Media Player 11 en 12 en ontdekte dat de aanval nog steeds werkt. Er was na het openen van het bestand geen verdere interactie van de gebruiker nodig. Om internetgebruikers voor kwaadaardige ASF-bestanden te waarschuwen is de online virusscanner nu van een apart tabblad met ASF-informatie voorzien.
VirusTotal is een online scandienst die de 'engines' van zo'n 40 virusscanners gebruikt om bestanden te controleren. Het wordt dan ook vaak als 'second opinion' gebruikt. VirusTotal werd vorig jaar door Google overgenomen.
- venster sluiten
- bestand wissen
Ook als het wel een link is naar een betrouwbare site en correcte software, dan is dit de beste methode.
Koop je een bestand, dan moet de leverancier meteen alles erbij leveren en krijg je na het installeren hiervan nog zo'n pop-up, dan moet je contact met de leverancier opnemen, want uit het oogpunt van veiligheid moet dit niet voorkomen.
Weet iemand hoe Windows mediaplayer zo geconfigureerd kan worden dat er geen ASF-bestanden kunnen worden uitgevoerd? Ik heb al gegoogled maar niets specifiek gevonden. Het gaat om mediaplayer 12.
Wanneer je een ander programma hebt ingesteld als standaard-mediaplayer (zoals bijvoorbeeld VLC media player, of GOM Player) dan is het afspelen van asf-files waarschijnlijk al daarmee gekoppeld en niet meer met Windows Media Player. Je kunt in dat geval zo nodig nog even controleren met welk programma het afspelen van asf-files precies is gekoppeld. Je kunt dat eveneens via het Windows Configruatiescherm bekijken, in het overzicht van alle koppelingen van bestandstypes met programma's.
* Als het ASF formaat een container is die het mogelijk maakt extra DRM metadata toe te voegen met desgewenst een link/verwijzing. Dan geldt deze social engineering kwetsbaarheid toch ook voor de DRM ondersteunende WMA en WMV containerformaten?
Dan is blocken een wat ongelukkige oplossing en blijft er waarschijnlijk wat weinig (PC) media plezier over.
Zinniger lijkt het dan automatische doorverwijzingen binnen de browser en of pop ups te onderscheppen / beheren met een extra addon als No-script (maar die is er geloof ik niet voor IE?, pop ups blocken dan?).
* Hoogst opmerkelijk dan dat dit niet ook toegepast wordt voor/bij Mac gebruikers.
Die zullen (aanname) wellicht eerder ingaan op een melding vanwege een ontbrekende plugin (mochten ze Flip4mac, Perian (ontwikkeling gestopt) of een hele player als VLC nog niet geïnstalleerd hebben).
* Algemeen advies : ga niet in op pop-up meldingen totdat je weet welk proces dit heeft gestart. Elke webdesigner kan een overtuigende fake-pop-up laten poppen op een webpagina.
Als geadviseerd hierboven : - venster sluiten, i.p.v.. bijv. op buttons te klikken want 'Nee' kan ook 'Ja' zijn, 'Nee' geklikt en toch op op die site!
Bedenk dat juist media player plugins en video codec's 'het meest' misbruikt worden voor malware purposes.
Hekel aan meldingen noteren?
Maak er gewoon een fotootje van en zoek het later eens uit (nieuwe browser sessie!) door naar de site te gaan van de eigen software leverancier (Ms for MS producten, Adobe..,Apple.. etc., etc.).
Gewoon alle gedownloade videobestanden even strippen dus, voor het afspelen.
En gewoon VLC gebruiken, niet de mediaplayer.
Gebruikt iemand ooit dit verschrikkelijke Microsoft video formaat?
Overigens, VLC Mediaplayer had al maanden geleden openheid over exploits door gemanipuleerde .asf bestanden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
