image

Check Point: Microsoft moet helpbestanden onschadelijk maken

zondag 17 mei 2015, 08:53 door Redactie, 9 reacties

Cybercriminelen gebruiken Microsofts helpbestanden, die Windowsgebruikers juist informatie over allerlei onderwerpen geven, om malware te verspreiden. De softwaregigant zou dan ook maatregelen moeten nemen om deze dreiging onschadelijk te maken, zo pleit beveiligingsbedrijf Check Point.

Het probleem is aanwezig met chm-bestanden, wat staat voor Microsoft Compressed HTML Help. Dit formaat is de opvolger van het bekende hlp-bestand in Windows. Chm-bestanden zijn zeer interactief en kunnen verschillende technologieën bevatten, zoals JavaScript en Powershell commando's. Daarmee is het mogelijk om automatisch een bestand te downloaden zodra het chm-bestand wordt geopend.

Er zijn inmiddels verschillende aanvallen waargenomen waarbij kwaadaardige chm-bestanden via e-mail worden verspreid. Veel gebruikers zouden niet weten dat het om een potentieel gevaarlijk bestandsformaat gaat. "De .chm-helpbestanden worden vaak als softwaredocumentatie en hulphandleiding gebruikt. Aangezien het gebruik zoveel voorkomt, vinden we het gebruik van de helpbestanden meestal niet verdacht", zegt analist Oded Vanunu van Check Point.

Hij ontdekte onlangs een chm-bestand dat het programma Putty op de computer downloadde en uitvoerde, waarmee vervolgens verdere commando's op de computer konden worden uitgevoerd. Veel virusscanners zouden de kwaadaardige chm-bestanden echter niet detecteren. "Microsoft heeft nog geen patch ontwikkeld om deze aanvalsmethode tegen te gaan. Daardoor wordt het nog steeds gebruikt door aanvallers die zo niet door virusscanners worden opgemerkt", stelt Vanunu.

Reacties (9)
17-05-2015, 10:55 door [Account Verwijderd]
[Verwijderd]
17-05-2015, 11:29 door karma4
Door Anak Krakatau: leert microsoft het nou nooit of zo? wie gaat nou powershell commando's mogelijk maken in een help-bestand?
Niet veel anders dan programmeurs die een Shell mogelijk maken (PHP) of een shell gebruiken om parameters als environment block door te geven (Apache web-server -- shell-shock) ipv de setenv() functie als basis te gebruiken.

Veilig ontwerpen en bouwen (kwaliteit) staat op gespannen voet met snel leveren van fraaie functionaliteit tegen lage kosten. Niet nieuws, nooit anders geweestm zal ook nooit anders worden. (Edsel Dijkstra)

Zullen we de vraag anders stellen, wanneer leren we dat op moment van privilege down-grading/escalation we extra voorzichtig moeten zijn. Die Sheel-shock is en was geen probleem als het niet gebruikt was in doorgave tussen verschillende security contexts. Selinux kon dat al afvangen.
Het hoogste actieve van chmtl bestanden is net als andere programma's (macro-s) geen probleem als het vertrouwd en gevalideerd aangeleverd is. Echter zo maar programmas gaan draaien die je niet kent dan wel de mogelijkheid daartoe geven is niet zo slim.
17-05-2015, 14:54 door Anoniem
Putty is toch een client, geen server? Hoe kun je hiermee nu opdrachten uitvoeren op de besmette computer?
17-05-2015, 16:54 door karma4
Door Anoniem: Putty is toch een client, geen server? Hoe kun je hiermee nu opdrachten uitvoeren op de besmette computer?
Putty is een client bedoeld om rechtstreek opdrachten ( via telnet prt 23) SSH prt 22 shell opdrachten te geven.
Als putty of welk andere client malware zou bevatten dan kan hij user/wachtwoorden opvangen doorsturen naar CC server dan wel willekeuring ander commando in de server / shell afvuren. Een goed moment zou zijn root-login (meteen schonen) of een arder targeted high privileged account. De keus daarvoor is aan de blackhat-hacker bij hem gaat het kosten/baten.
Een whitehat hacker moet daarvan op de hoogte zijn en daarvoor de maatregelen nemen dan wel aanbevelen.

De shell-shock was schokkend omdat:
- De webserver het binnenkomend verkeer onder onder root rechten afhandeld
- Voor de analyses van de strings de SHELL onder root gebruikt en daarna pas de afhandeling doet met een service account.
Met confinement sluit je het hele webserverproces in en kan je ook met de shell die de string ahandelt niet buiten dat gebied komen. Dat ze de shell aanpassing voor de shellshock hebben aangepast en niet dat die onnodige aanroep er uit gehaald hebben, betekent het wachten is op de volgende lek in de shell die gevonden wordt. Gezien de opeenvolgende meldingen op dat gebied vermoed ik dat er nog wel iets is. Met curl ofwel basic webverkeer kun je opdrachten uitvoeren om de computer te besmetten.

De compiled chtml bestanden is wat eenvoudiger. root ofwel admin gebruik je niet voor het dagelijkse gangbare werk zoals browsen. Doe je dat wel dan tja... Als je programma's start komt het in ieder geval niet buiten die kring.
Het genoemde problem in het artikel is dat mensen verleid worden om een bestand te open, liever gezegd te gaan draaien. Het is meer pishing. Hier uw ontbrekende handleiding van de senseo klik ---hier--- afzender Philips consumerproducts.
17-05-2015, 22:20 door N4ppy
Door Anak Krakatau:
wie gaat nou powershell commando's mogelijk maken in een help-bestand?
Het zou direct vanuit de helpfile bepaalde acties mogelijk kunnen maken.
Dus ipv in de help file "open dit scherm, klik hier, zet vinkje zus en zo aan" krijg je de optie klick hier om dit aan te zetten en de powershell regelt het voor je.

Dus er is legitiem gebruik maar net als elke andere legitieme functie kan dat ook misbruikt worden.
17-05-2015, 23:24 door Eric-Jan H te D
Door karma4:Echter zo maar programmas gaan draaien die je niet kent dan wel de mogelijkheid daartoe geven is niet zo slim.

Het probleem is natuurlijk dat gewone gebruikers een helpbestand niet met een uitvoerbaar programma associëren. Daarnaast is het moeilijk te begrijpen dat MS wel een "slot" zet op het uitvoeren van macro's in Office-bestanden en dit dus kennelijk niet doet met andere door haar ondersteunde bestandsformaten.

Batch- en ,reg-bestanden en Powershell- en Vbs-scripts worden via NTFS dacht ik wel van een waarschuwing voorzien indien ze een remote oorsprong hebben. Daarnaast kunnen Powershell- en vbs-scripts ook ondertekend worden
18-05-2015, 09:15 door Anoniem
Batch- en ,reg-bestanden en Powershell- en Vbs-scripts worden via NTFS dacht ik wel van een waarschuwing voorzien indien ze een remote oorsprong hebben.

Nee, dat is niet waar. Je kan namelijk een attribuut geven aan het bestand, dat doen de meeste webbrowsers. Dus je kan via een downloadprogramma dingen downloaden die niet automatisch worden gemerkt.
18-05-2015, 13:29 door Anoniem
Alweer zijn de eindgebruikers de sjaak en als zout in de wond wordt ze gezegd dat ze niet op die ene onschuldig ogende link hadden moeten klikken.

Microsoft had hier sinds Windows XP al sandboxing kunnen toepassen. Waarom laten ze hun betalende klanten zo hard in de steek?

https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html
19-05-2015, 22:20 door karma4
Door Eric-Jan H te A: Het probleem is natuurlijk dat gewone gebruikers een helpbestand niet met een uitvoerbaar programma associëren. Daarnaast is het moeilijk te begrijpen dat MS wel een "slot" zet op het uitvoeren van macro's in Office-bestanden en dit dus kennelijk niet doet met andere door haar ondersteunde bestandsformaten.

Batch- en ,reg-bestanden en Powershell- en Vbs-scripts worden via NTFS dacht ik wel van een waarschuwing voorzien indien ze een remote oorsprong hebben. Daarnaast kunnen Powershell- en vbs-scripts ook ondertekend worden

Als ze via email komen wordt er behoorlijk wat uitgegooid door de email-client. Dat zit in de betere varianten ingebakken. Als de mailserver dat ook nog eens doet is het behoorlijk veilig. Dat zijn wel instellingen op plekken die het gemiddeld huis/tuin/keuken gebruik te boven gaan.
Het zou al helpen als de Linux-omgevingen (veel gebruikte mailservers in publiek domein) ook de troep er af gooien.
Dan moet je het apart renamen om het actief te krijgen als je iets zelf mailt. Als het dan misgaat....

En inderdaad het lijkt er op dat NTFS iets bij houdt waar het vandaan komt. De bekende zones als kenmerk worden bij de files opgeslagen. Als je het later opend is dat kenmerkt er nog steeds en de waarschuwing komt ook.
https://support.microsoft.com/en-us/kb/883260. Er wordt niet verteld of andere tools dan die van MS ook zo reageren. Sorry Anoniem 09:15 het is waar. Alleen moet je MS tools gebruiken of in ieder geval die deze functie ook heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.