Vier zero day-lekken in Internet Explorer Mobile onthuld
Computergigant HP heeft vier kwetsbaarheden in Internet Explorer Mobile onthuld waardoor een aanvaller in het ergste geval systemen volledig kan overnemen en waar nog geen updates van Microsoft voor beschikbaar zijn. De kwetsbaarheden werden verzameld als onderdeel van het HP Zero Day Initiative. Via dit initiatief beloont HP onderzoekers voor het melden van onbekende kwetsbaarheden.
Eén van de kwetsbaarheden werd tijdens de Pwn2Own Mobile-wedstrijd gedemonstreerd en vorig jaar november door HP aan Microsoft gemeld. HP hanteert standaard het beleid om een kwetsbaarheid na 90 dagen openbaar te maken. Microsoft gaf echter aan dat het meer tijd nodig had om het probleem verhelpen. De datum die Microsoft zelf als deadline aangaf werd echter niet door de softwaregigant gehaald. Daarop besloot HP de kwetsbaarheid bekend te maken. Het gaat in dit geval om een lek in alle versies van Internet Explorer Mobile.
Om de kwetsbaarheid te kunnen aanvallen zou een gebruiker een kwaadaardige of gehackte website moeten bezoeken, een besmette advertentie te zien moeten krijgen of een kwaadaardig bestand moeten openen. Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd. De overige drie kwetsbaarheden werden in januari gemeld en hebben dezelfde impact. Weer vroeg Microsoft om meer tijd om de problemen te verhelpen en wederom werd de deadline niet gehaald, waardoor ook deze drie lekken openbaar zijn gemaakt. Exacte details heeft HP echter niet gegeven.
Gebruikers die zich willen beschermen krijgen het advies om Internet Explorer zo in te stellen dat er voor het uitvoeren van Active Scripting om toestemming wordt gebruikt, of dat Active Scripting in de Internet en lokale intranet security zone wordt uitgeschakeld. Het Nationaal Cyber Security Center (NCSC) adviseert internetgebruikers om voorzichtig te zijn bij het bezoeken van onbekende of onbetrouwbare websites.
Update 24/7 17:35
De problemen spelen niet in de desktopversie van Internet Explorer zoals in eerste instantie werd gemeld, maar in de mobiele versie van IE. Dit is aangepast in de titel en tekst
Verder gebruikt Microsofts nieuwe browser Edge voor een deel ook code van IE, dus kan het nog steeds kwetsbaar zijn. Firefox en Chrome gebruiken andere code.
Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd.
Begrijp ik het goed dat de impact van de aanval dus groter zou kunnen zijn wanneer je als administrator bent in gelogd, en de kwetsbaarheid wordt aangevallen?
Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd.
Begrijp ik het goed dat de impact van de aanval dus groter zou kunnen zijn wanneer je als administrator bent in gelogd, en de kwetsbaarheid wordt aangevallen?
In principe zou je bijna nooit als administrator moeten zijn ingelogd, zeker niet bij huis-tuin-en-keuken gebruik. Gewoon als gebruiker met beperkte rechten en indien nodig heb je dan de optie "uitvoeren als administrator". En de User Account Control zo afstellen dat, zelfs al ben je ingelogd als administrator, het systeem voor iedere digitale scheet jouw expliciete toestemming moet vragen. ;)
Dat is nog geen garantie dat het 100% waterdicht is, maar het verkleint de kans op narigheid behoorlijk.
Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd.
Begrijp ik het goed dat de impact van de aanval dus groter zou kunnen zijn wanneer je als administrator bent in gelogd, en de kwetsbaarheid wordt aangevallen?
In principe zou je bijna nooit als administrator moeten zijn ingelogd, zeker niet bij huis-tuin-en-keuken gebruik. Gewoon als gebruiker met beperkte rechten en indien nodig heb je dan de optie "uitvoeren als administrator". En de User Account Control zo afstellen dat, zelfs al ben je ingelogd als administrator, het systeem voor iedere digitale scheet jouw expliciete toestemming moet vragen. ;)
Dat is nog geen garantie dat het 100% waterdicht is, maar het verkleint de kans op narigheid behoorlijk.
Best practice is dat je een gewone gebruikersaccount hebt (meer zeer beperkte rechten) waarmee je op het internet kan en daarnaast een adminaccount waar je niet mee kan surfen.
Firefox en Chrome gebruiken andere code.
En daar zitten namelijk geen kwetsbaarheden in...
Google patches 43 security flaws in latest Chrome update
http://www.zdnet.com/article/google-patches-43-security-flaws-in-latest-chrome-update/
Mozilla patches critical bugs in fresh Firefox update
http://www.zdnet.com/article/mozilla-patches-critical-bugs-in-fresh-firefox-update/
Best practice is dat je een gewone gebruikersaccount hebt (meer zeer beperkte rechten) waarmee je op het internet kan en daarnaast een adminaccount waar je niet mee kan surfen.
Nog beter is dat je gebruikersaccount geen executables kan uitvoeren vanaf lokaties waar dit account kan schrijven,
dus enkel van voor dit account read-only lokaties zoals C:\Windows en C:\Program Files*
Bedankt, uiteraard ben ik zelde ingelogd als administrator, en UAC staat op zijn hoogst. Lezen is echter best lastig voor mij vanwege mijn dislexie en soms twijfel ik er dan ook gewoon of ik het artikel of iemand post wel goed begrepen heb.
Vraag me wel af of ik om mijn Windows phone root rechten heb of niet?
@Anoniem 18:00, bedankt, hier moet ik mij echter in verdiepen hoe ik dat voor elkaar krijg. Heb het wel eens voor elkaar gekregen dat ik niets meer kon met de map openbare documentenop mijn PC, en dat was eigenlijk niet de bedoeling :-)
Firefox en Chrome gebruiken andere code.
En daar zitten namelijk geen kwetsbaarheden in...
Mijn punt is dat doordat Chrome, Firefox en IE ieder een andere codebase hebben, ze niet (snel) dezelfde kwetsbaarheden zullen hebben. Behalve natuurlijk op die onderdelen waar er gebruik gemaakt wordt van dezelfde onderliggende code; zo maken bijvoorbeeld zowel Firefox als Chrome gebruik van libpng.
Biologische diversiteit waardoor het geheel een grotere overlevingskans heeft. Het zou kunnen. Het klinkt in ieder geval charmant.
Maar ik denk niet dat dat makkelijk te bewijzen valt. In de natuur sterven de te zwakke exemplaren,uit waardoor de toch al sterke exemplaren meer voedsel en meer tijd om te evolueren hebben. Het in leven houden van zwakke exemplaren lijkt misschien sociaal, maar is voor de gemeenschap nutteloos.
Terug naar jouw stellingname zou je net zo goed kunnen beweren dat die diversiteit aan code, ook een verbreding van het aanvalsoppervlak betekent. In mijn ogen moeten de zwakke browsers uitsterven of de goede kant uit evolueren. Samenwerken en open-source lijkt me voor de hele browsergemeenschap de meest succesvolle aanpak.
Microsoft Internet Explorer Mobile
Oorzaak: in http://www.zerodayinitiative.com/advisories/ZDI-15-359/ staat onder meer:
Echter, bovenaan die pagina (ook -360, -361 en -362) staat:
Internet Explorer Mobile
Ook NCSC heeft haar bulletin aangepast, zie https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2015-0615+1.01+Meerdere+kwetsbaarheden+in+Microsoft+Internet+Explorer+ontdekt.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
