Aanvallers combineerden Firefox- en Windows-lek voor verspreiding backdoor
Aanvallers hebben een kwetsbaarheid in Mozilla Firefox en Windows gecombineerd voor het automatisch infecteren van gebruikers met een backdoor, zo laat antivirusbedrijf ESET weten. Op het moment van de aanvallen waren er geen beveiligingsupdates voor de kwetsbaarheden beschikbaar. Mozilla werd op 8 oktober over het beveiligingslek ingelicht en kwam op 9 oktober met een patch voor Firefox.
Het onderzoek naar de kwetsbaarheid in Firefox (CVE-2024-9680) leverde een tweede aangevallen kwetsbaarheid op die zich in Windows bevond (CVE-2024-49039). Microsoft werd op 14 oktober ingelicht en verhielp het probleem op 12 november. De aanvallen begonnen met een malafide website die slachtoffers naar een exploitserver stuurde. Was de aanval succesvol, dan werd er shellcode uitgevoerd die de uiteindelijke backdoor op het systeem van de gebruiker installeerde.
Het beveiligingslek in Firefox maakte het mogelijk voor aanvallers om code binnen de browser uit te voeren. Firefox maakt gebruik van een sandbox, om te voorkomen dat kwetsbaarheden in de browser een aanvaller meteen toegang tot het hele systeem geven. Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren. Het beveiligingslek in de Task Scheduler van Windows is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft.
Van 10 tot 16 oktober, net nadat de Firefox-kwetsbaarheid was gepatcht, ontdekten onderzoekers van ESET andere servers waarop de exploit draaide. Eenmaal actief kan de backdoor wachtwoorden, cookies en andere inloggegevens stelen, alsmede allerlei soorten bestanden, screenshots maken en gebruikt worden voor het aanvallen van andere systemen. Volgens het antivirusbedrijf bevinden de meeste potentiële slachtoffers zich in Europa en de Verenigde Staten. De aanval is het werk van een aan Rusland gelieerde groep die zich met cybercrime en spionage bezighoudt, aldus ESET.
"Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren."
Hetzelfde als Google Chrome en de Apple Sandbox waarbij geen sprake is van virtualisatie, maar slechts een shell die toegang tot het systeem beperkt.
Firejail icm Apparmor voor Linux, Windows Sandbox (system wide) en Sandboxie (individueel, 'overleeft' reboot) zijn voorbeelden van onmisbare virtualisatietools voor browsers, games, p2p clients en andere 'risicovolle' apps.
Een remote code execution kwetsbaarheid (RCE) in Firefox had effect buiten de AppContainer, een functie van MS Windows dat een toepassingen in een sandbox houdt. De fix voor de RCE werd door Mozilla binnen een dag na melding uitgerold en de fix voor de kwetsbaarheid in MS Windows liet een maand op zich wachten om uitgebracht te worden. Die fout in MS Windows had in potentie een veel breder bereik dan de RCE in Mozilla, malafide code in welke toepassing dan ook kon uit die AppContainer breken. De meeste toepassingen in gebruik onder MS Windows kunnen niet tippen aan de kwaliteit van de code van Firefox, dus ...
Dacht dat deze net zo veilig was als de chrome, chromium, brave en\z. browsers.
Wel prive maar secure?
Dus toch maar een tweede brave profiel voor inloggen?
Sandbox bij firefox ook minder dacht ik
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.