Firefox-gebruikers mogelijk al sinds 29 juli via lek aangevallen
Vorige week donderdag kwam Mozilla met een noodpatch voor een kritieke kwetsbaarheid in Firefox die actief werd gebruikt om gebruikers van de browser aan te vallen. Nu blijkt dat het lek mogelijk veel eerder is aangevallen, ook Mac-gebruikers het doelwit waren, er meer informatie werd gestolen en de exploit ook op pornosites is gebruikt.
Via het beveiligingslek kon een aanvaller allerlei informatie van de computer stelen om die vervolgens naar een server te uploaden. Het ging om geschiedenisbestanden van bash, MySQL en PostgresSQL, SSH-gerelateerde configuratiebestanden en autorisatiesleutels, configuratiebestanden voor de remote access software Remmina, configuratiebestanden van FileZilla, PSI+ configuratie en tekstbestanden met mogelijke inloggegevens en shellscripts. Zowel Firefox-gebruikers op Linux, Windows als Mac waren uiteindelijk het doelwit van de aanval.
Het lijkt er nu op dat de kwetsbaarheid mogelijk al sinds 29 juli is ingezet om Firefox-gebruikers aan te vallen. Het Slowaakse anti-virusbedrijf ESET analyseerde de aanval. De server die werd gebruikt voor het verzamelen van de informatie van Firefox-gebruikers kwam op 27 juli van dit jaar online. Twee dagen later, op woensdag 29 juli, plaatst een gebruiker van het CS-Cart forum een bericht dat er bij het laden van een advertentie een bestand van 0KB automatisch wordt gedownload.
Noodpatch
Op donderdag 6 augustus kwam Mozilla met de noodpatch, nadat de browserontwikkelaar een dag eerder door een gebruiker was gewaarschuwd. Deze gebruiker kreeg op een Russische nieuwssite een advertentie te zien die misbruik van het lek maakte om gevoelige gegevens te stelen. Vervolgens gingen de aanvallers "all in" aldus de analisten van ESET en verscheen er een nieuwe versie van de exploit.
Deze versie verzamelde ook tekstbestanden met sleutelwoorden, zoals wachtwoorden, certificaten en creditcardgegevens. Terwijl de eerste versie van de exploit alleen voor de Linux- en Windows-versie van Firefox werkte, ontwikkelden de aanvallers nu ook een versie voor Mac OS X. Daarnaast werd de exploit ook door verschillende andere groepen cybercriminelen gebruikt, voornamelijk op pornosites. De server waar de verzamelde gegevens naar toe werden gestuurd werd op 8 augustus inactief.
Als de exploit actief wordt terwijl de encrypted volumes gemount zijn dan helpt de encryptie geen zier. Als de exploit de private keys van je encryptieprogramma (die waarschijnlijk vanwege de handigheid onversleuteld op je harde schijf staan) weet te kapen ben je ook de sigaar.
Er vanuit gaande dat je dit serieus bedoelt en niet een ander OS gebruiker bent die het leuk vindt de boel in de maling te nemen...
Doe eens een zoekopdrachtje binnen je user account op
En filter daarna daarbij op alleen weergeven van "Invisible Files" .
Hee dat is wat, dan krijg je vast een aantal van die genoemde files uit het Eset artikel als resultaat. Omdat die onzichtbare files zich binnen jouw useraccount bevinden.
Als jij dus bent ingelogd op je account en aan het browsen bent met een kwetsbare Firefox versie die ook nog zo is ingesteld dat zij kwetsbaar is kan dat script bij die verborgen bestanden onder jouw account.
Wat betreft het gebruik van de verlaten Truecrypt software.
Je Mac heeft de eigen FileVault protectie die je account of zelfs je hele Mac disk versleutelt.
Wil je apart bestanden (in mappen) versleutelen kan je dat doen met het hulpprogramma Disk Utility en al dan niet gebruik van de password manager (zelf zeer lange passwords verzinnen kan natuurlijk ook).
Deze mogelijkheden zijn weliswaar allemaal 'van' Apple zelf en daar zou je theoretisch mogelijk best op af kunnen dingen, maar is voor de dagelijkse praktijk van de meeste gebruikers meer dan voldoende en goed.
Vertrouw je dat niet dan zou je je ook kunnen afvragen of je dan het helemaal een 'vrij' OS moet gebruiken.
Geklooi met niet meer supported 3rd party encryptie software als Truecrypt op een Mac?
Mij ontgaat het veiligheids en security nut ervan omdat het niet meer supported is, mogelijk nog handig bij uit te wisselen encrypted bestanden tussen Windows en Linux systemen? Daar kan ik me nog wat bij voorstellen maar denk dat de eigen encryptie van Apple voor de meesten wel voldoet.
Maar goed, het beschermt je in ieder geval niet in deze situatie omdat de betreffende bestanden zich bevinden in een geopend (niet kmeer versleuteld) account waaronder je op dat moment werkt.
Wat natuurlijk wel zou kunnen is dat je meerdere werk accounts hebt voor meerdere taken en dat je een encrypted account hebt speciaal voor upload taken en dergelijke, en een ander standaard account waarmee je standaard dingen doet zoals standaard die favoriete Russische of andere sites bezoeken.
In dat geval zou het script niet bij de files uit het andere account kunnen, maar dat is niet wat je bedoelde daar gebruikers user accounts op de Mac versleutelen met FileVault encryptie van Apple zelf.
FileVault? Disk Utility?
Met een beetje browsen heb je zo wat informatie gevonden over het gebruiken van de standaard ingebouwde encryptie mogelijkheden op de Mac.
Wellicht al te vinden op appletips.nl
Succes
Groet van een andere Mac gebruiker
Niet meer ondersteund houdt niet per se in out-of-date. Sterkers nog, ik vertrouw de bepaalde versies van TrueCrypt meer dan Veracrypt
Dat hoeft niet, maar niet meer ondersteund betekent wel dat je bij een systeemupgrade het risico loopt dat je plots niet meer bij je data kunt omdat TrueCrypt niet aan het nieuwe OS aangepast zal worden.
Mag ik concluderen dat het bestand van 0KB duidt op een gehackte (http) server en niet op een gehackte bezoeker van zo'n server? Heb namelijk zo'n bestandje gezien op een computer met firefox 39.0 (zeer recent). Kwam tijdens bezoek marktplaats als ik goed in de browser history gekeken heb. Heb ze trouwens heel lang geleden al eens gezien, deze 0KB .php bestanden. Niet zo'n gevaarlijke gebeurtenis dacht ik toen. De downloads vliegen om je oren als je een beetje overal op klikt!
Als je googled op .php en 0KB kom je ook niet zulke schokkende pagina's tegen. Lijkt een beetje aan de taal te liggen als er iets verkeerd gaat bij het programmeren. Ik maak mij er voorlopig nog niet zo druk om.
N.B. het bestand van 0KB kwam niet van marktplaats zelf maar een Franse site ofzo. Deze Franse site was veilig volgens norton safe web en mcafee siteadvisor!!
topic daar helemaal niet over gaat.
Dat helpt niet als er inmiddels al een keylogger op mijn systeem staat, maar dan helpt wel erg weinig meer...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
