image

Firefox-gebruikers mogelijk al sinds 29 juli via lek aangevallen

dinsdag 11 augustus 2015, 15:14 door Redactie, 11 reacties

Vorige week donderdag kwam Mozilla met een noodpatch voor een kritieke kwetsbaarheid in Firefox die actief werd gebruikt om gebruikers van de browser aan te vallen. Nu blijkt dat het lek mogelijk veel eerder is aangevallen, ook Mac-gebruikers het doelwit waren, er meer informatie werd gestolen en de exploit ook op pornosites is gebruikt.

Via het beveiligingslek kon een aanvaller allerlei informatie van de computer stelen om die vervolgens naar een server te uploaden. Het ging om geschiedenisbestanden van bash, MySQL en PostgresSQL, SSH-gerelateerde configuratiebestanden en autorisatiesleutels, configuratiebestanden voor de remote access software Remmina, configuratiebestanden van FileZilla, PSI+ configuratie en tekstbestanden met mogelijke inloggegevens en shellscripts. Zowel Firefox-gebruikers op Linux, Windows als Mac waren uiteindelijk het doelwit van de aanval.

Het lijkt er nu op dat de kwetsbaarheid mogelijk al sinds 29 juli is ingezet om Firefox-gebruikers aan te vallen. Het Slowaakse anti-virusbedrijf ESET analyseerde de aanval. De server die werd gebruikt voor het verzamelen van de informatie van Firefox-gebruikers kwam op 27 juli van dit jaar online. Twee dagen later, op woensdag 29 juli, plaatst een gebruiker van het CS-Cart forum een bericht dat er bij het laden van een advertentie een bestand van 0KB automatisch wordt gedownload.

Noodpatch

Op donderdag 6 augustus kwam Mozilla met de noodpatch, nadat de browserontwikkelaar een dag eerder door een gebruiker was gewaarschuwd. Deze gebruiker kreeg op een Russische nieuwssite een advertentie te zien die misbruik van het lek maakte om gevoelige gegevens te stelen. Vervolgens gingen de aanvallers "all in" aldus de analisten van ESET en verscheen er een nieuwe versie van de exploit.

Deze versie verzamelde ook tekstbestanden met sleutelwoorden, zoals wachtwoorden, certificaten en creditcardgegevens. Terwijl de eerste versie van de exploit alleen voor de Linux- en Windows-versie van Firefox werkte, ontwikkelden de aanvallers nu ook een versie voor Mac OS X. Daarnaast werd de exploit ook door verschillende andere groepen cybercriminelen gebruikt, voornamelijk op pornosites. De server waar de verzamelde gegevens naar toe werden gestuurd werd op 8 augustus inactief.

Reacties (11)
11-08-2015, 15:34 door Anoniem
Toch handig dat TrueCrypt bestaat, want gevoelige informatie is hier standaard zwaar versleuteld (op de Mac).
11-08-2015, 15:45 door Anoniem
Door Anoniem: Toch handig dat TrueCrypt bestaat, want gevoelige informatie is hier standaard zwaar versleuteld (op de Mac).
Bedankt voor de nep-info die je hier meegeeft. TrueCrypt is al lang out-of-date.
11-08-2015, 15:59 door Anoniem
Door Anoniem: Toch handig dat TrueCrypt bestaat, want gevoelige informatie is hier standaard zwaar versleuteld (op de Mac).

Als de exploit actief wordt terwijl de encrypted volumes gemount zijn dan helpt de encryptie geen zier. Als de exploit de private keys van je encryptieprogramma (die waarschijnlijk vanwege de handigheid onversleuteld op je harde schijf staan) weet te kapen ben je ook de sigaar.
11-08-2015, 16:20 door Anoniem
Absurd, je kunt nog beter Internet Explorer op Windows gebruiken. Tijd om Ubunto aan de kant te gooien ten gunste van W7/10?
11-08-2015, 16:58 door Anoniem
Door Anoniem: Toch handig dat TrueCrypt bestaat, want gevoelige informatie is hier standaard zwaar versleuteld (op de Mac).

Er vanuit gaande dat je dit serieus bedoelt en niet een ander OS gebruiker bent die het leuk vindt de boel in de maling te nemen...

Doe eens een zoekopdrachtje binnen je user account op
.
(alleen een punt intypen als zoekonderdeel van de file name)
En filter daarna daarbij op alleen weergeven van "Invisible Files" .

Hee dat is wat, dan krijg je vast een aantal van die genoemde files uit het Eset artikel als resultaat. Omdat die onzichtbare files zich binnen jouw useraccount bevinden.
Als jij dus bent ingelogd op je account en aan het browsen bent met een kwetsbare Firefox versie die ook nog zo is ingesteld dat zij kwetsbaar is kan dat script bij die verborgen bestanden onder jouw account.

Wat betreft het gebruik van de verlaten Truecrypt software.
Je Mac heeft de eigen FileVault protectie die je account of zelfs je hele Mac disk versleutelt.
Wil je apart bestanden (in mappen) versleutelen kan je dat doen met het hulpprogramma Disk Utility en al dan niet gebruik van de password manager (zelf zeer lange passwords verzinnen kan natuurlijk ook).

Deze mogelijkheden zijn weliswaar allemaal 'van' Apple zelf en daar zou je theoretisch mogelijk best op af kunnen dingen, maar is voor de dagelijkse praktijk van de meeste gebruikers meer dan voldoende en goed.
Vertrouw je dat niet dan zou je je ook kunnen afvragen of je dan het helemaal een 'vrij' OS moet gebruiken.

Geklooi met niet meer supported 3rd party encryptie software als Truecrypt op een Mac?
Mij ontgaat het veiligheids en security nut ervan omdat het niet meer supported is, mogelijk nog handig bij uit te wisselen encrypted bestanden tussen Windows en Linux systemen? Daar kan ik me nog wat bij voorstellen maar denk dat de eigen encryptie van Apple voor de meesten wel voldoet.

Maar goed, het beschermt je in ieder geval niet in deze situatie omdat de betreffende bestanden zich bevinden in een geopend (niet kmeer versleuteld) account waaronder je op dat moment werkt.

Wat natuurlijk wel zou kunnen is dat je meerdere werk accounts hebt voor meerdere taken en dat je een encrypted account hebt speciaal voor upload taken en dergelijke, en een ander standaard account waarmee je standaard dingen doet zoals standaard die favoriete Russische of andere sites bezoeken.
In dat geval zou het script niet bij de files uit het andere account kunnen, maar dat is niet wat je bedoelde daar gebruikers user accounts op de Mac versleutelen met FileVault encryptie van Apple zelf.

FileVault? Disk Utility?
Met een beetje browsen heb je zo wat informatie gevonden over het gebruiken van de standaard ingebouwde encryptie mogelijkheden op de Mac.
Wellicht al te vinden op appletips.nl

Succes
Groet van een andere Mac gebruiker
11-08-2015, 17:07 door Anoniem
FIREFOX 34 is nu beschikbaar en ook n nieuwe FLASH
11-08-2015, 17:10 door Anoniem
Door Anoniem:
Door Anoniem: Toch handig dat TrueCrypt bestaat, want gevoelige informatie is hier standaard zwaar versleuteld (op de Mac).
Bedankt voor de nep-info die je hier meegeeft. TrueCrypt is al lang out-of-date.

Niet meer ondersteund houdt niet per se in out-of-date. Sterkers nog, ik vertrouw de bepaalde versies van TrueCrypt meer dan Veracrypt
11-08-2015, 19:09 door Briolet
Door Anoniem: Niet meer ondersteund houdt niet per se in out-of-date. Sterkers nog, ik vertrouw de bepaalde versies van TrueCrypt meer dan Veracrypt

Dat hoeft niet, maar niet meer ondersteund betekent wel dat je bij een systeemupgrade het risico loopt dat je plots niet meer bij je data kunt omdat TrueCrypt niet aan het nieuwe OS aangepast zal worden.
11-08-2015, 19:35 door Fwiffo - Bijgewerkt: 11-08-2015, 19:46
cs-cart staat op de lijst van ESET bij de 'compromised servers'.

Mag ik concluderen dat het bestand van 0KB duidt op een gehackte (http) server en niet op een gehackte bezoeker van zo'n server? Heb namelijk zo'n bestandje gezien op een computer met firefox 39.0 (zeer recent). Kwam tijdens bezoek marktplaats als ik goed in de browser history gekeken heb. Heb ze trouwens heel lang geleden al eens gezien, deze 0KB .php bestanden. Niet zo'n gevaarlijke gebeurtenis dacht ik toen. De downloads vliegen om je oren als je een beetje overal op klikt!

Als je googled op .php en 0KB kom je ook niet zulke schokkende pagina's tegen. Lijkt een beetje aan de taal te liggen als er iets verkeerd gaat bij het programmeren. Ik maak mij er voorlopig nog niet zo druk om.

N.B. het bestand van 0KB kwam niet van marktplaats zelf maar een Franse site ofzo. Deze Franse site was veilig volgens norton safe web en mcafee siteadvisor!!
12-08-2015, 09:54 door golem - Bijgewerkt: 12-08-2015, 09:57
Reactie verwijderd. Wilde reageren op truecrypt/veracrypt verhaal en zag te laat dat
topic daar helemaal niet over gaat.
05-09-2015, 12:43 door Anoniem
Ik had een tijdje geheim werk op de PC en leerde mezelf de gewoonte aan om het Wifi uit te schakelen als ik de truecrypt container ging mounten, en die eerst weer te unmounten voor ik weer het net op ging.

Dat helpt niet als er inmiddels al een keylogger op mijn systeem staat, maar dan helpt wel erg weinig meer...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.