Safari-gebruikers gewaarschuwd voor automatisch uitpakken zip-bestanden
Safari-gebruikers op macOS zijn gewaarschuwd voor een optie in de browser die ervoor zorgt dat zip-bestanden automatisch worden uitgepakt, aangezien aanvallers hier misbruik van maken. Eerder deze week verscheen al het bericht dat Mac-gebruikers in het Midden-Oosten het doelwit van gerichte aanvallen zijn geweest.
De aanvallers stuurden doelwitten een spearphishingmail die een link naar een kwaadaardige website bevat. Zodra het doelwit deze website bezoekt wordt er een download van een zip-bestand geactiveerd, dat de malware bevat. Safari zal het zip-bestand automatisch uitpakken en zo de malware op het systeem van de gebruiker plaatsen. Alleen het feit dat dit kwaadaardige bestand op het systeem van de gebruiker is geplaatst is voldoende om het een eigen "url-scheme" te laten registreren.
Via een url-scheme kan een applicatie aangeven dat als de gebruiker een bepaalde url opent, de betreffende applicatie hiervoor verantwoordelijk is. Bekende url-schemes zijn http:// en ftp://. Applicaties kunnen echter ook een eigen url-scheme registreren. In het geval van de nu waargenomen aanvallen registreert macOS het url-scheme van de malware. Vervolgens zal de kwaadaardige website dit url-scheme aanroepen om de malware op het systeem van de gebruiker uit te voeren.
Dit veroorzaakt wel een waarschuwing in Safari, maar de aanvaller heeft volledige controle over deze melding. Wanneer de gebruiker de website toestaat om de malware te starten verschijnt er een waarschuwing van File Quarantine dat er een bestand dat van het internet afkomstig is wordt geopend. Als de gebruiker ook deze waarschuwing negeert wordt de malware geïnstalleerd. De malware is van een geldig ontwikkelaarscertificaat voorzien, waardoor Apples GateKeeper dit in de standaardconfiguratie gewoon toestaat.
Automatisch uitpakken zip-bestanden
Hoewel de meldingen van Safari en File Quarantine een obstakel zijn voor de aanvallers, is het zeker geen "show stopper", zegt onderzoeker Patrick Wardle. Verschillende aangevallen Mac-gebruikers hebben de waarschuwingen genegeerd en zijn vervolgens geïnfecteerd geraakt door de malware. Wardle adviseert Mac-gebruikers die security belangrijk vinden om Google Chrome te gebruiken. Wie met Safari werkt krijgt het advies om het automatisch uitpakken van zip-bestanden uit te schakelen, wat via het Instellingen-menu van de browser kan worden gedaan. Tevens kan het volgens Wardle geen kwaad om Apples Gatekeeper zo in te stellen dat er alleen applicaties uit de Mac App Store worden toegestaan.
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis
Is er geen kruit opgewassen tegen dit soort praktijken.
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis
Is er geen kruit opgewassen tegen dit soort praktijken.
A. Spearfishing kan erg verraderlijk zijn en met wat trucs zijn links te genereren die ook ervaren gebruikers (zoals jij) voor het lapje houden
B. "de aanvaller heeft volledige controle over deze melding"
C. Dit zou default nooit aan mogen staan. Dingen automatisch uitpakken is vragen om problemen en die verantwoordelijkheid ligt primair bij Apple
Een alerte gebruiker is de belangrijkste bescherming, maar in dit geval blijft daar wel erg weinig marge voor over.
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis
Is er geen kruit opgewassen tegen dit soort praktijken.
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
C: Hun (default) security instellingen aanpassen zonder enige kennis
Is er geen kruit opgewassen tegen dit soort praktijken.
A. Spearfishing kan erg verraderlijk zijn en met wat trucs zijn links te genereren die ook ervaren gebruikers (zoals jij) voor het lapje houden
B. "de aanvaller heeft volledige controle over deze melding"
C. Dit zou default nooit aan mogen staan. Dingen automatisch uitpakken is vragen om problemen en die verantwoordelijkheid ligt primair bij Apple
Een alerte gebruiker is de belangrijkste bescherming, maar in dit geval blijft daar wel erg weinig marge voor over.
Het probleem lig niet bij Apple, Apple staat per default alleen programma executie toe voor programma's die uit de App Store komen en niet die van 'identified developers'. Je moet daarvoor in je settings en Apps expliciet toestaan daarvoor, dus per default veilig.
[...] geen kruit opgewassen tegen [...]
geen kruid tegen gewassen
Zie bijvoorbeeld:
https://onzetaal.nl/taaladvies/er-is-geen-kruid-tegen-gewassen/
[...] geen kruit opgewassen tegen [...]
geen kruid tegen gewassen
Zie bijvoorbeeld:
https://onzetaal.nl/taaladvies/er-is-geen-kruid-tegen-gewassen/
Dank je voor deze terechtwijzing.
Waarschijnlijk dan wel de “beheerderswachtwoord vereist voor toegang tot systeemomvattende voorkeuren” aanvinken.
Of is dat in zo’n dergelijk voorbeeld te omzeilen en geen bescherming?
Tevens: moet het safari “open “veilige” bestanden na downloaden” nu uitgevinkt zijn? Bedankt!
Dank je voor deze terechtwijzing.
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
Sinds wanneer mogen gebruikers geen URL's in email aanklikken? Overdrijf je niet een klein beetje veel?
De oorzaak van dit alles is gewoon dat Safari onvoorzichtig is. Geen enkele andere browser opent automatisch archiefbestanden. En een OS als Windows of Linux wijzigt niet automatisch zonder te vragen koppelingen aan bestandstypen zodra het een Info,plist bestand ziet en inleest waardoor automatisch malware wordt gebruikt om die te openen. Dat zijn een hoop domme dingen op een rij.
Dank je voor deze terechtwijzing.
Ach, terechtwijzing is wat sterk uitgedrukt, "Dank voor deze correctie" was iets vriendelijker geweest.
Je hebt gewoon gelijk. :)
Waarschijnlijk dan wel de “beheerderswachtwoord vereist voor toegang tot systeemomvattende voorkeuren” aanvinken.
Of is dat in zo’n dergelijk voorbeeld te omzeilen en geen bescherming?
Tevens: moet het safari “open “veilige” bestanden na downloaden” nu uitgevinkt zijn? Bedankt!
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
Sinds wanneer mogen gebruikers geen URL's in email aanklikken? Overdrijf je niet een klein beetje veel?
Nee, ik overdrijf niet, HTML in email is de bron van heeel veel kwaad en daar zijn talloze voorbeelden van.
Inderdaad: graag zou ik dit willen weten.
Hoe weet je of je een dergelijke mail met zo’n link hebt gehad? Heeft deze nog een naam? En hoe kan je scannen of je deze (of andere) malware hebt?
A: URL's in mail gewoon aan blijven klikken
B: Waarschuwingen blijven negeren
Sinds wanneer mogen gebruikers geen URL's in email aanklikken? Overdrijf je niet een klein beetje veel?
Nee, ik overdrijf niet, HTML in email is de bron van heeel veel kwaad en daar zijn talloze voorbeelden van.
Wat een onzin. We leven niet meer in 1999.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
