Nieuws
image

HackingTeam had zero day-lekken voor Windows en Flash

dinsdag 7 juli 2015, 10:02 door Redactie, 21 reacties
Laatst bijgewerkt: 07-07-2015, 15:19

De Italiaanse ontwikkelaar van overheidsspyware HackingTeam beschikte over zero day-kwetsbaarheden voor Windows en Adobe Flash Player, zo blijkt uit de bestanden die bij het bedrijf werden gestolen. Gisteren publiceerden aanvallers een bestand van zo'n 400GB met allerlei informatie die bij HackingTeam was buitgemaakt.

In de bestanden zijn nu twee beveiligingslekken ontdekt waarvoor nog geen beveiligingsupdate beschikbaar is, zo meldt de beveiligingsonderzoeker The Grugq. Het gaat om een kwetsbaarheid in Windows waarmee een aanvaller zijn rechten op het systeem kan verhogen. In dit geval moet de aanvaller al toegang tot de computer hebben om het lek te kunnen gebruiken. De tweede kwetsbaarheid bevindt zich in Adobe Flash Player. Via dit lek kan een aanvaller computers wel volledig overnemen, als gebruikers bijvoorbeeld een gehackte of kwaadaardige website bezoeken.

Ook de embedded Flash Player in Google Chrome is kwetsbaar. Volgens beveiligingsonderzoeker Kevin Beaumont maakt het lek het mogelijk om uit de sandbox van Chrome te ontsnappen. Onderzoeker Rik van Duijn van beveiligingsbedrijf DearBytes laat echter tegenover Security.NL weten dat een 'sandbox escape' via de gepubliceerde code niet mogelijk is en er dus een tweede exploit is vereist. HackingTeam, dat spyware voor overheidsinstanties ontwikkelt, heeft in verklaring bevestigd dat het gehackt is. "We denken dat er documenten van het bedrijf zijn gestolen. We hebben een onderzoek ingesteld om de omvang van de aanval vast te stellen en te bepalen wat er precies is buitgemaakt", aldus een woordvoerder. De website van het bedrijf is sinds gisteren offline.

Update

Het Nationaal Cyber Security Center (NCSC) van de overheid heeft een waarschuwing voor het lek in Flash Player afgegeven. Via het lek kan een aanvaller willekeurige code op de computer uitvoeren met de rechten van de ingelogde gebruiker. Ook het NCSC stelt dat er nog geen update voor het lek beschikbaar is. In afwachting van een update kunnen Flash Player-gebruikers verschillende maatregelen nemen, waaronder het uitschakelen van Flash Player, zoals uitgelegd in dit achtergrondartikel van Security.NL.

Update 13:48

De aanval op HackingTeam is opgeëist door de hacker die vorig jaar ook bij spyware-ontwikkelaar Gamma International wist in te breken en daar gigabytes aan data buitmaakte, zo meldt Vice Magazine. De hacker zegt binnenkort met de details te komen hoe hij bij HackingTeam wist in te breken.

Update 15:09

Anti-virusbedrijf Symantec bevestigt dat het om een zero day-lek in de meest recente versie van Flash Player gaat. De virusbestrijder verwacht dat aanvallers waarschijnlijk van de kwetsbaarheid gebruik zullen maken.

Update 15:19

Het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit waarschuwt ook voor de kwetsbaarheid en stelt dat gebruikers zich kunnen beschermen door Microsoft EMET te installeren of geen onbetrouwbare Flash-content uit te voeren.

Reacties (21)
07-07-2015, 10:58 door Anoniem
Detectie virusscanners is op dit moment erg laag. Alleen Symantec herkent deze 0-day (flash) als een hacktool.
07-07-2015, 11:14 door [Account Verwijderd]
[Verwijderd]
07-07-2015, 11:18 door bollie
die jongens van hackingteam waren goed bezig zeg..

??? Goed bezig??????
Ik vind dat je niet slechter bezig kunt zijn...........!!!
07-07-2015, 11:31 door [Account Verwijderd] - Bijgewerkt: 07-07-2015, 11:32
[Verwijderd]
07-07-2015, 11:33 door Mysterio
Door Anak Krakatau:
Door bollie:
die jongens van hackingteam waren goed bezig zeg..

??? Goed bezig??????
Ik vind dat je niet slechter bezig kunt zijn...........!!!
was een uitdrukking voor iets anders hoor.
je moet mijn woorden ook kunnen aanvoelen wat ik wél bedoelde..
Non-verbale communicatie is lastig te vangen in woorden.
07-07-2015, 12:00 door Vandy
Blijkbaar ook 0-days voor Firefox en Thunderbird:

https://twitter.com/dveditz/status/617919004984750080
07-07-2015, 12:13 door [Account Verwijderd] - Bijgewerkt: 07-07-2015, 14:51
[Verwijderd]
07-07-2015, 12:34 door Vandy - Bijgewerkt: 07-07-2015, 12:36
En niet zozeer 0day, maar Jacob Appelbaum is druk bezig met uploaden naar virustotal:

https://twitter.com/ioerror/status/618072421581615104
https://twitter.com/ioerror/status/618069959529365504
https://twitter.com/ioerror/status/618069871637700608
https://twitter.com/ioerror/status/618069799667695616
https://twitter.com/ioerror/status/618034511146844160
https://twitter.com/ioerror/status/618033630699503616
https://twitter.com/ioerror/status/618032520303673344
https://twitter.com/ioerror/status/618028739130167299 (door slechts 5 gedetecteerd, waaronder MS Antivirus)
https://twitter.com/ioerror/status/618073326263619584 (niet gedetecteerd!)
07-07-2015, 13:50 door Anoniem
Het is goed dat dit gevonden is. Maar dat geeft wel te denken over 0-days die nog niet bekend zijn.
07-07-2015, 14:00 door Anoniem
Door Anoniem: Het is goed dat dit gevonden is. Maar dat geeft wel te denken over 0-days die nog niet bekend zijn.

Het is toch allang bekend dat 0-days voor veel geld te verhandelen zijn.
07-07-2015, 14:01 door Anoniem
Door bollie:
die jongens van hackingteam waren goed bezig zeg..

??? Goed bezig??????
Ik vind dat je niet slechter bezig kunt zijn...........!!!
Volgens mij zijn ze enorm goed bezig en mogen ze de criminele praktijken van deze club gewoon aan het licht brengen. Dat een hacker niet zo ethisch moest inbreken om bij deze gegevens te komen doet mij niets.
07-07-2015, 14:16 door Anoniem
Door Anoniem: Het is goed dat dit gevonden is. Maar dat geeft wel te denken over 0-days die nog niet bekend zijn.
Ja daarom is het ook zo onzinnig om met dat "iedere maand nieuwe fixes en dan zijn we weer veilig" model te werken.
Er zijn al zoveel lekken gevonden en het gaat met zo'n snelheid dat er nog heel veel in moeten zitten.
07-07-2015, 14:23 door Anoniem
Commissie delete actief ?

In het artikel van gisteren
https://www.security.nl/posting/434692/HackingTeam+krijgt+controle+over+gehackt+Twitteraccount+terug
is de door de redactie zelf geplaatste link naar Github van HackedTeam verwijderd
(alsmede een reactie van een reageerder met een link naar pastebin).

Github zelf heeft de geplaatste content en het account van hacked team inmiddels helemaal verwijderd.
Onder deze voormalige overzichts link verschijnt namelijk nu een interactief poppetje
https://github.com/hackedteam?tab=repositories

Wat speelt zich op de achtergrond af?
Worden media op de achtergrond benaderd om content te verwijderen die linkt naar het bestanden materiaal?
Omdat ontvreemd illegaal breed ingezet materiaal dat rechten van andersdenkenden schendt en levens kost, beschermd moet worden?

Politiek ingezet
Misschien is het niet iedereen opgevallen maar dit bedrijf leek voornamelijk klanten te hebben waarvan je kan weten dat de inzet van deze software meer politiek van aard was dan in het kader van criminaliteitsbestrijding.

Lees deze artikelen maar en je begrijpt dat dit bedrijf heel goed wist op welke morele koord balanceerde en met welke grenzen het te maken had.

http://www.csoonline.com/article/2943968/data-breach/hacking-team-hacked-attackers-claim-400gb-in-dumped-data.html

http://www.csoonline.com/article/2944333/data-breach/hacking-team-responds-to-data-breach-issues-public-threats-and-denials.html

Niet (officieel)
Voor de buitenwacht was dat in zekere zin allang duidelijk maar met het naar boven halen van dit materiaal is het onomstotelijk bewezen.
Aan Sudan waar een militair embargo tegen geldt werd naar eigen zeggen niet geleverd.
Nou ja, niet officieel dan "Not officially supported".
Maar goed, software is natuurlijk geen wapen, niemand die er dood van gaat, toch?

Functionele afweging
Hoewel de links naar de malware-content zijn verwijderd, was de blik op wat er op Github geplaatst was zeer inzichtelijk.
Inzichtelijk genoeg vanuit het oogpunt van security(.nl) omdat je op basis daarvan in staat werd gesteld één en ander te beoordelen en zelfs in staat kon worden gesteld om onderzoek te doen naar je eigen apparatuur op basis van zelf uit te kiezen definities.

Nou zal dat hier wel meevallen met de trefkans, er lijkt lokaal nog weinig te worden teruggehackt onder gebruikmaking van het concurrerende 2e klasse FinFisher. Waarvan overigens al een aantal definities bekend zijn alsmede van een deel van het materiaal van HT.
Maar in andere landen is de kans aanmerkelijk groter dat je deze code wel op je systeem zou kunnen aantreffen.
HT verkocht het davinci pakket met de argumenten dat het buiten individuele inzet ook op honderdduizenden computers ingezet kon worden.

Vanuit security en 'vul maar in ander oogpunt' was de link naar de Github content dus juist zeer functioneel!
Daardoor hoefde je niet met torrents aan de slag om 400 gb aan bedrijfscontent te gaan downloaden om alsnog een idee te krijgen van de code die ons allen bedreigt omdat het zonder gene door overheden wordt gekocht en wordt ingezet.

Wat is (il)legaal?
Mag ik kennis nemen van online beschikbaar materiaal dat mij bedreigt?
Zijn van nu af aan alle AV producten die definities op basis van deze beschikbare content hebben toegevoegd illegaal bezig, moeten die definities er strak allemaal weer uit?
Dat is de vraag.

Spyware detectie tool
Nu deze code voor iedereen op straat ligt en te gebruiken is heeft hopelijk de maker van de spywaretool "Detect" wel 'goed opgelet' en is hij toch hard bezig om op basis van verkregen materiaal de detectie definities van deze anti mensen software toe te voegen aan de spyware scanner.
Opdat we ons tegen deze overheidspest kunnen beschermen.
Vroeg of laat ligt het op straat en bedreigt het ons allemaal, net zoals met lab virussen of militair ingezette malware eigenlijk.

Detect
https://resistsurveillance.org/

Een digitale wapenwedloop tegen burgers gaan voeren via hacking en gebruik van malware is gewoon niet de weg,
we hebben toch ook een verdrag rondom het gebruik van chemische wapens?

Daar gaat het natuurlijk heel voorlopig niet van komen.
In de tussen tijd is de vraag wat het meeste telt, de commerciële inkomsten van een ander, de politieke belangen van overheden, de veiligheid en vrijheid van mensen?

De Robin Hoods van HackedTeam vonden het laatste
vanuit het perspectief van de tegenbalans die opkomt voor wereldwijd geschonden burgerrechten kan ik ze niet ongelijk geven en ze daarvoor alleen maar dankbaar zijn.
07-07-2015, 15:39 door [Account Verwijderd]
[Verwijderd]
07-07-2015, 17:48 door Anoniem
Door Anak Krakatau: ik vind het eigenlijk diep en diep triest. je eigen overheid die komt spioneren bij religieuze minderheden, bij journalisten, bij mensenrechtenactivisten...ik kan hier met m'n verstand totaal niet meer bij.

in wat voor een wereld leven we eigenlijk?????
En waar maak je dat uit op? Het is nog triester om zonder onderbouwing maar te gaan raaskallen over wat je eigen overheid allemaal zou doen.
07-07-2015, 18:08 door Anoniem
ING DIRECT NV klant van 2008 tm 2012
07-07-2015, 21:16 door Anoniem
Door Anoniem: ING DIRECT NV klant van 2008 tm 2012

Wat moet en doet een bank met spionagesoftware dat gebruik maakt van malware tactieken en zerodays ?
07-07-2015, 22:10 door W. Spu
Adobe heeft een security Advisory APSA15-03 uitgebracht voor de vulnerability CVE-2015-5119. Waarschijnlijk zal Adobe morgen een update uitbrengen. Zie ook https://helpx.adobe.com/security/products/flash-player/apsa15-03.html
07-07-2015, 22:22 door [Account Verwijderd] - Bijgewerkt: 07-07-2015, 22:23
[Verwijderd]
07-07-2015, 22:53 door Anoniem
Door Anak Krakatau:
Door Anoniem:
Door Anak Krakatau: ik vind het eigenlijk diep en diep triest. je eigen overheid die komt spioneren bij religieuze minderheden, bij journalisten, bij mensenrechtenactivisten...ik kan hier met m'n verstand totaal niet meer bij.

in wat voor een wereld leven we eigenlijk?????
En waar maak je dat uit op? Het is nog triester om zonder onderbouwing maar te gaan raaskallen over wat je eigen overheid allemaal zou doen.

moet je het materiaal van de afgelopen 48 uur maar eens lezen, want dat heb je nog niet gedaan zo aan je opmerking te zien.

Haha, jij wel dan ?
Begin hier en je raakt de komende week / maand niet uitgelezen.

http://arstechnica.com/security/2015/07/massive-leak-reveals-hacking-teams-most-private-moments-in-messy-detail/

Zijn we hopelijk even verschoond van de al maanden aanhoudende dooddoeners onder de helft van alle nieuws artikelen op security.nl , kom je terug met werkelijke kennis van zaken en inhoud!
08-07-2015, 16:54 door Anoniem
Door Anoniem:
Door Anoniem: Het is goed dat dit gevonden is. Maar dat geeft wel te denken over 0-days die nog niet bekend zijn.
Ja daarom is het ook zo onzinnig om met dat "iedere maand nieuwe fixes en dan zijn we weer veilig" model te werken.
Er zijn al zoveel lekken gevonden en het gaat met zo'n snelheid dat er nog heel veel in moeten zitten.

Dat is inderdaad het geen wat ik bedoel te zeggen. Misschien zou het een mooie uitdaging zijn om eens out of the box te gaan denken. Ik moet eerlijk zeggen dat ik niet bij machte ben om dat zonder hulp te kunnen. Maar het zou mooi zijn als we met z'n alle een manier zouden kunnen vinden waarop deze manier van werken niet meer nodig is en 0-days gewoon geen schade meer aan kunnen richten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure