image

Malware misbruikt DRM in Windows Media Player

maandag 3 juni 2013, 14:34 door Redactie, 9 reacties

De kopieerbeveiliging in Windows Media Player wordt door criminelen gebruikt om Windows-gebruikers via kwaadaardige videobestanden met malware te infecteren. Het Advanced Systems Format (ASF) is een door Microsoft ontwikkeld formaat, waarin de structuur van een audio- en videostream wordt beschreven. Ook is er een framework voor digital right management (DRM) aanwezig.

Dit moet voorkomen dat de stream wordt gekopieerd. Bestanden die dit formaat gebruiken hebben vaak een wmv, wma of mp3 extensie. De Windows Media Rights Manager maakt het mogelijk om mediacontent op zo'n manier te beschermen dat als de gebruiker een bestand wil afspelen waarvoor een geldige licentie ontbreekt, Windows Media Player een URL van de contentaanbieder zal tonen.

Media
Dit maakt het echter mogelijk voor aanvallers om kwaadaardige mediabestanden te maken die vervolgens een kwaadaardige website laden zodra het bestand wordt geopend. Zo worden op Usnet en P2P-netwerken bestanden aangeboden die zich als populaire films voordoen, maar in werkelijkheid kwaadaardige URL's downloaden.

De tactiek wordt al lange tijd door cybercriminelen gebruikt, maar is nog steeds effectief, ook tegen de nieuwste versies van Media Player. Online virusscanner VirusTotal ontdekte onlangs weer een ASF-bestand dat gebruikers naar een website stuurt waar een video plug-in wordt aangeboden. In werkelijkheid is dit adware.

Check
VirusTotal testte de tactiek tegen Windows Media Player 11 en 12 en ontdekte dat de aanval nog steeds werkt. Er was na het openen van het bestand geen verdere interactie van de gebruiker nodig. Om internetgebruikers voor kwaadaardige ASF-bestanden te waarschuwen is de online virusscanner nu van een apart tabblad met ASF-informatie voorzien.

VirusTotal is een online scandienst die de 'engines' van zo'n 40 virusscanners gebruikt om bestanden te controleren. Het wordt dan ook vaak als 'second opinion' gebruikt. VirusTotal werd vorig jaar door Google overgenomen.

Reacties (9)
03-06-2013, 15:08 door Anoniem
Kortom, krijg je zo'n pop-up dan is de beste oplossing:

- venster sluiten
- bestand wissen

Ook als het wel een link is naar een betrouwbare site en correcte software, dan is dit de beste methode.

Koop je een bestand, dan moet de leverancier meteen alles erbij leveren en krijg je na het installeren hiervan nog zo'n pop-up, dan moet je contact met de leverancier opnemen, want uit het oogpunt van veiligheid moet dit niet voorkomen.
03-06-2013, 15:53 door [Account Verwijderd]
[Verwijderd]
03-06-2013, 17:16 door Anoniem
Ach als hackers naar binnen willen vinden ze toch wel een weg.Windows is een grote gatenkaas en de rest vd software adobe,java,etc is ook gatenkaas.Zelfs beveiligingssoftware bevat gaten/lekken/kwetsbaarheden.En die laatste moet ons pc/internetgebruikers beschermen!
03-06-2013, 17:38 door Spiff has left the building
Door Windmolentje:
Weet iemand hoe Windows mediaplayer zo geconfigureerd kan worden dat er geen ASF-bestanden kunnen worden uitgevoerd? Ik heb al gegoogled maar niets specifiek gevonden. Het gaat om mediaplayer 12.
Niet in Windows Media Player, maar via Windows Configruatiescherm de instellingen voor Standaardprogramma's aanpassen, voor Windows Media Player het vinkje weghalen voor asf-files.
Wanneer je een ander programma hebt ingesteld als standaard-mediaplayer (zoals bijvoorbeeld VLC media player, of GOM Player) dan is het afspelen van asf-files waarschijnlijk al daarmee gekoppeld en niet meer met Windows Media Player. Je kunt in dat geval zo nodig nog even controleren met welk programma het afspelen van asf-files precies is gekoppeld. Je kunt dat eveneens via het Windows Configruatiescherm bekijken, in het overzicht van alle koppelingen van bestandstypes met programma's.
03-06-2013, 18:19 door [Account Verwijderd]
[Verwijderd]
03-06-2013, 20:02 door Anoniem
Hoewel ik met mijn Mac's niet zo'n last heb van het 'ASf fenomeen' vraag ik me af of het probleem niet wat breder is of nog kan worden dan het nu wordt voorgesteld.

* Als het ASF formaat een container is die het mogelijk maakt extra DRM metadata toe te voegen met desgewenst een link/verwijzing. Dan geldt deze social engineering kwetsbaarheid toch ook voor de DRM ondersteunende WMA en WMV containerformaten?

Dan is blocken een wat ongelukkige oplossing en blijft er waarschijnlijk wat weinig (PC) media plezier over.
Zinniger lijkt het dan automatische doorverwijzingen binnen de browser en of pop ups te onderscheppen / beheren met een extra addon als No-script (maar die is er geloof ik niet voor IE?, pop ups blocken dan?).

De tactiek wordt al lange tijd door cybercriminelen gebruikt, maar is nog steeds effectief,

* Hoogst opmerkelijk dan dat dit niet ook toegepast wordt voor/bij Mac gebruikers.
Die zullen (aanname) wellicht eerder ingaan op een melding vanwege een ontbrekende plugin (mochten ze Flip4mac, Perian (ontwikkeling gestopt) of een hele player als VLC nog niet geïnstalleerd hebben).

* Algemeen advies : ga niet in op pop-up meldingen totdat je weet welk proces dit heeft gestart. Elke webdesigner kan een overtuigende fake-pop-up laten poppen op een webpagina.
Als geadviseerd hierboven : - venster sluiten, i.p.v.. bijv. op buttons te klikken want 'Nee' kan ook 'Ja' zijn, 'Nee' geklikt en toch op op die site!

Bedenk dat juist media player plugins en video codec's 'het meest' misbruikt worden voor malware purposes.

Hekel aan meldingen noteren?
Maak er gewoon een fotootje van en zoek het later eens uit (nieuwe browser sessie!) door naar de site te gaan van de eigen software leverancier (Ms for MS producten, Adobe..,Apple.. etc., etc.).
04-06-2013, 06:46 door Anoniem
Het lijkt me dat er ook wel software bestaat waarmee je alle onzin (zoals url's) uit videobestanden kunt verwijderen.
Gewoon alle gedownloade videobestanden even strippen dus, voor het afspelen.
En gewoon VLC gebruiken, niet de mediaplayer.
04-06-2013, 15:28 door Anoniem
Weer een duidelijk voorbeeld dat DRM een ramp is voor de gebruiker, en dat het de klant (de "recht" krom-hebbende) niets kan schelen. Deze hele kwetsbaarheid kan niet bestaan zonder het drm-gebeuren dat technisch gezien onzinnig is.
Gebruikt iemand ooit dit verschrikkelijke Microsoft video formaat?
Overigens, VLC Mediaplayer had al maanden geleden openheid over exploits door gemanipuleerde .asf bestanden.
06-06-2013, 11:37 door Anoniem
Het grootste beveiligings lek zit tussen het toetsenbord en de rugleuning.
Als gebruikers gewoon iets beter na denken, niet naar rare websites gaan en niet overal maar ja op klikken zou dat al een groot deel van de problemen schelen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.