Door Anoniem: Door Erik van Straten: Ook een "grappige", ik kreeg een mailtje van Dela met daarin links die beginnen met:
https://contact dela.nl/optiext/optiextension.dll?ID=<onleesbare_meuk>
Waarom zou ik er niet vanuit moeten gaan dat optiextension.dll naar mijn PC wordt gedownload en wordt gestart (al dan niet middels RunDLL.exe) en al dan niet met als commandline parameter ID=<onleesbare_meuk>?
Je geeft het zelf al aan, er is rundll nodig een bepaalde functie in een DLL te starten. Op zichzelf doet downloaden van een bestand niets, tenzij er aan de clientkant een automatisch lezen of openen plaatsvind als je de folder opent waar het bestand staat.
Ten eerste: "binary planting" (zie bijvoorbeeld
https://attack.mitre.org/techniques/T1574/001/).
Als het openen van de Dela URL een kwaadaardige DLL zou downloaden, ook als die vervolgens
niet meteen gestart wordt (DLL's lijken overigens zeer veel op EXE bestanden, de eerste twee bytes zijn bijv. ook "MZ"), is dat toch gevaarlijk. Wellicht nauwelijks met de bestandsnaam
optiextension.dll, maar zeker wel met bijv. de naam
kernel32.dll (*).
(*) Zie de bovenste tabel in
https://www.researchgate.net/figure/List-of-the-top-ranked-30-DLL-names-by-calling-frequency_tbl2_255787076.
Als de internetter later een programma downloadt naar dezelfde map (of dat eerder al gedaan heeft, of bijv. een ZIP bestand in die download map heeft uitgepakt) en dat nu start, is de kans zeer groot dat er code in de kwaadaardige DLL wordt uitgevoerd. De reden daarvoor is dat nagenoeg alle programma's
eerst in de map waarin de EXE staat zoeken naar benodigde DLL's.
Ten tweede: Genoemde soort URL's, maar ook vele anderen, dragen alleen maar bij aan mogelijke verwarring bij internetters. Het is techniek bedacht door techneuten, zonder rekening te houden met
menselijke gebruikers van die techniek.
Een voorbeeld:
(1)
https://github.com/security-alliance/advisories/blob/main/2024-07-squarespace.pdf(2)
https://github.com/security-alliance/advisories/raw/main/2024-07-squarespace.pdfAls je (1) opent, probeert Github
zelf het PDF-bestand te renderen in een deel van de pagina. De browser verwerkt dus html (en Javascript, CSS, plaatjes etc. - die allemaal worden gedownload, meestal naar een cache-map of database gebruikt door de browser).
Als je (2) opent, wordt
https://raw.githubusercontent.com/security-alliance/advisories/main/2024-07-squarespace.pdf gedownload (wél een PDF bestand, echter -onverwacht- vanaf een heel andere server, eentje waarop ook veel malware wordt gehost). Vervolgens hangt het van de gebruikte browser af of
die browser zelf de PDF (zonder jou iets te vragen) rendert (uitleest en toont zoals bedoeld),
óf dat de browser (meestal nadat je hebt bevestigd dat je dat wilt) het PDF bestand downloadt naar de gebruikelijke "Downloads" map - waarbij je meestal ook voor een andere map kunt kiezen.
Oftewel: je kunt aan een URL absoluut niet zien wat er gaat gebeuren als je deze opent. Ooit was
.html de gebruikelijke
extensie voor webpagina's, en niet lang daarna volgden
.php en
.asp[x] (die laatste twee met grote impact voor "server side"). Op de meeste websites zijn dergelijke extensies geheel verdwenen.
Dat je als internetter maar moet afwachten wat er gaat gebeuren als je een link ziet en deze opent, vind ik STOM en gebruikersonvriendelijk. Net als ego's die in het verkeer (o.a. bij het verlaten van rotondes) geen richting aangeven terwijl dat verplicht is: "je komt er vanzelf wel achter wat er gaat gebeuren".
Op zich slim van Microsoft om bijv. Excel bestanden voorzien van macro's de extensie
.xlsm te geven. Maar weer totaal zinloos omdat bestandsextensies standaard niet getoond worden, en je ook macro's in Excel bestanden met andere extensies kunt opnemen.
Het is allemaal zó extreem ondoordacht. Internetters en andere computeraars wordt (vaak uiterst) zinvolle informatie onthouden, zogenaamd om het e.e.a. "gebruiksvriedelijker' te maken. Maar dat is kul: er is niets gebruiksvriendelijk aan een gecompromiteerde PC of draagbaar device, laat staan dat je bankrekening geplunderd wordt. Essentiële informatie weglaten is voor iedereen een ramp, vooral voor gebruikers die
wél de moeite hebben genomen om (feitelijk voor iedereen minimaal noodzakelijke) kennis te vergaren.
Door Anoniem: Dat kan bijvoorbeeld gebeuren met Office bestanden, plaatjes. Het is heel handig voor een bepaalde categorie aanvallers als er in zo'n bestand een zero day aanwezig is.
Niet in het bestand zelf, maar de verwerker. Waaronder een kwetsbaarheid in een driver voor de grafische kaart in je PC (code die meestal met hoge privileges draait) zoals CVE-2024-0090.
Door Anoniem: Niettemin leidt het overdreven waarschuwen voor het openen van links [...]
Vooral niet open deuren zoals "Klik niet
zomaar op een link" of "Klik niet op
onbetrouwbare links".
Door Anoniem: [...] niet tot een goed begrip van de werkelijk gevaarlijke handelingen zoals invullen van gegevens op phishing pagina's of het uitvoeren van bestanden.
Exact.
Door Anoniem: Overigens zag ik recentelijk dat in Firefox Nightly voor Android (net als al lang in Safari onder iOS en iPadOS), uitsluitend nog de domeinnaam van de website in de adresbalk wordt getoond. Ik zie vóórdelen en nadelen.
Hoe denken de lezers van security.nl hierover?
Gewoon volledig weergeven. Het "verdommen" (dommer maken) is uiteindelijk nadelig voor security. Het begon ooit al met het niet meer weergeven van extensies en ook op deze site wordt een relatieve tijd gebruikt voor postings in plaats van een absolute tijd. Zo wordt het refereren naar berichten onduidelijk.
Dank voor jouw mening hierover. Aangezien er URL's zijn met zeer zinvolle info daarin (hiërarchie, datum-aanduiding, ...), naast het type dat uit -voor mensen- onbegrijpelijke wartaal bestaat (bijv.
https://open.overheid.nl/documenten/dpc-689d7945030622dff1af19431c3ccd5053af163c/pdf (+) ), twijfel ik.
Vanuit security-oogpunt is er beslist wat voor te zeggen dat internetters primair op de domeinnaam moeten focussen.
(+) Terzijde:
https://open.overheid.nl/documenten/dpc-689d7945030622dff1af19431c3ccd5053af163c/ geeft een
onverwachte foutmelding, terwijl
https://open.overheid.nl/documenten/dpc-689d7945030622dff1af19431c3ccd5053af163c interessante info oplevert.
En daaruit afgeleid, door in Firefox/Android
https://open.overheid.nl/documenten/dpc-689d7945030622dff1af19431c3ccd5053af163c/_text te openen, wordt een bestand genaamd
_tekst.bin gedownload - dat platte tekst uit de PDF bevat. Moeilijker kunnen we het nauwelijks maken.