image

LinkedIn dicht beveiligingslek in uitwisselen van bestanden

zaterdag 19 augustus 2017, 08:28 door Redactie, 2 reacties

Een beveiligingslek in de zakelijke sociale netwerksite LinkedIn kon aanvallers de mogelijkheid geven om kwaadaardige bestanden naar gebruikers of organisaties toe te sturen. LinkedIn laat gebruikers verschillende soorten bestanden uitwisselen, zoals gif, jpeg, jpg, png, txt, pdf en Office-bestandstypes.

Het kan dan bijvoorbeeld gaan om sollicitatiebrieven of cv's. Andere bestandstypes, zoals bijvoorbeeld exe, js of scr, worden geblokkeerd om gebruikers te beschermen. Onderzoekers van securitybedrijf Check Point ontdekten dat het mogelijk was om deze beveiligingsmaatregel te omzeilen. Een aanvaller kon bijvoorbeeld een kwaadaardig PowerShell-script als .pdf-bestand naar de servers van LinkedIn uploaden.

"Vervolgens kan de aanvaller het .pdf-bestand versturen. In dit stadium heeft de aanvaller controle over de bestandsnaam, bestandsformaat en bestandsextensie", zegt onderzoeker Eran Vaknin. Als een gebruiker het bestand had geopend zou de kwaadaardige code op zijn systeem worden uitgevoerd. Ook andere kwaadaardige bestanden konden door ze te hernoemen worden verstuurd. De kwetsbaarheid werd op 14 juni van dit jaar gemeld en tien dagen later op 24 juni verholpen.

Image

Reacties (2)
21-08-2017, 02:25 door Anoniem
Wordt een PDF-bestand niet door Acrobat geopend, die er dan niets van begrijpt omdat het geen PDF is, einde verhaal?
Of is dat te simpel gedacht?
21-08-2017, 09:46 door User2048
Door Anoniem: Wordt een PDF-bestand niet door Acrobat geopend, die er dan niets van begrijpt omdat het geen PDF is, einde verhaal?
Of is dat te simpel gedacht?
Ik begrijp uit het artikel dat de bestandsextensie alleen werd gecontroleerd op het moment dat het bestand werd geupload naar de server van LinkedIn. De aanvaller zorgt dat zijn bestand een geaccepteerde extensie heeft. Als vervolgens het bestand vanaf de server wordt verstuurd "heeft de aanvaller controle over de bestandsnaam, bestandsformaat en bestandsextensie", en kan de extensie dus weer teruggezet worden naar .exe, .vbs, of wat het maar was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.