image

Microsoft verwijdert adware die dns-instellingen aanpast

woensdag 7 december 2016, 10:52 door Redactie, 4 reacties

Microsoft zal deze maand miljoenen Windowscomputers op de aanwezigheid van adware controleren die dns-instellingen aanpast en een eigen rootcertificaat installeert. Het gaat om een adware-familie genaamd Clodaconas, die advertenties en pop-ups op websites en in zoekresultaten injecteert.

Om de advertenties te injecteren verandert Clodaconas de dns-instellingen van de computer. Computers gebruiken het domain name system (dns) om onder andere websites op te vragen. De meeste internetgebruikers maken gebruik van de dns-servers van hun internetprovider. In het geval van de Clodaconas-adware wordt er een kwaadaardige dns-server ingesteld.

Alle dns-verzoeken van de gebruiker gaan vervolgens langs de dns-server van de aanvallers. Op deze manier ontstaat er een man-in-the-middle (mitm) aanval. In plaats van dat websites direct van de originele server worden geladen, wordt de website van de server van de aanvallers geladen. De server van de aanvallers laadt wel de echte website, maar injecteert allerlei advertenties voordat de gebruiker de website uiteindelijk in zijn browser te zien krijgt.

Veel websites maken gebruik van een ssl-certificaat voor het opzetten van een beveiligde verbinding. De browser zou in het geval van een mitm-aanval, zoals door Clodaconas, een waarschuwing geven. Om dit soort waarschuwingen te voorkomen installeert de adware een eigen rootcertificaat. Met dit certificaat kunnen er ook binnen beveiligde verbindingen advertenties worden geïnjecteerd.

De in Windows ingebouwde Malicious Software Removal Tool (MSRT) zal de adware deze maand verwijderen en alle systeemaanpassingen ongedaan maken. Gebruikers moeten mogelijk wel hun browsercache legen nadat de adware is verwijderd. Anders kan de browser nog steeds een gecachete versie van de website met de advertenties bevatten. Microsoft maakte het nieuws via een blogposting bekend, maar heeft die inmiddels offline gehaald. Aankondigingen over de updates voor de MSRT verschijnen normaal namelijk op patchdinsdag, de tweede dinsdag van de maand.

Image

Reacties (4)
07-12-2016, 13:49 door linuxpro
mooi man, dat windows... (duikt onder 't buro...) :)
07-12-2016, 16:43 door ph-cofi
Ik had initieel dezelfde reactie, een stuk code in een browser dat DNS settings kan aanpassen *DUH* en een root certificaat installeert dat gelijk wordt vertrouwd *DUH*. Hoe krachtig had u de marketingboodschap gehad willen hebben??? Ik zie de mogelijkheden. Als u NIET via bol.com wil winkelen, dan past bol uw PC zodanig aan dat u dat toch doet. Ook onze overheid zou goed raad weten met dit instrument om ons denken te beïnvloeden.

Totdat... ik me afvraag of een windows PC hiertegen gemakkelijk te beschermen is door instellingen? Of is die out of the box al veilig?
Zou een Linux workstation en een Apple Macbook hier gegarandeerd niet kwetsbaar voor zijn?
Tik ik dit wel richting de echte security.nl?
07-12-2016, 17:00 door Anoniem
Door ph-cofi:
Totdat... ik me afvraag of een windows PC hiertegen gemakkelijk te beschermen is door instellingen?

Ik verwacht dat "zit niet te werken als een Administrator" al wel een hoop uitmaakt.
Helaas heb je (vooral onder de onkundigen) veel mensen die denken dat WIndows alleen werkt als je Administrator
bent. Dat soort mensen zal in Linux de hele tijd als root werken en heeft dan exact dezelfde problemen.
08-12-2016, 08:33 door Anoniem
Had ook meteen de software moeten aanpakken die de IP adressen aanpaste en de computer niet meer het naar het Internet liet gaan of zelf helemaal geen netwerk meer.

Verrek dat was Windows 10 zelf na de update. Zullen we maar niet doen hè.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.