Lost in the Noise

Een maand lang zullen hackers en beveiligingsonderzoekers zero-day lekken in de software van Adobe, Microsoft, Mozilla, Apple en andere leveranciers onthullen. De ’0day collectie’ van Abysssec Security Research bestaat uit proof-of-concepts en exploits voor Microsoft Excel, Internet Explorer, verschillende Microsoft codecs, Cpanel en andere programma’s. “Zet je helm op en je VM’s en debugging tools klaar, het wordt een heftige rit”, aldus Abysssec. Vandaag zullen de eerste exploits op Exploit-db.com verschijnen.

Volgens Trend Micro onderzoeker Rajiv Motwani, zullen de meeste aangekondigde lekken voor Microsoft producten zijn. Het gaat zowel om oude als nieuwe problemen waar exploits voor zijn ontwikkeld. “Nieuwe informatie die tijdens deze periode uitkomt zal waarschijnlijk snel worden misbruikt, waardoor meer gebruikers risico lopen.” In het geval van de aangekondigde kwetsbaarheid in Internet Explorer zou er binnen een paar uur een proof-of-concept klaar kunnen staan, waarschuwt Jonathan Leopando van Trend Micro.

Drie jaar geleden begon beveiligingsonderzoeker H.D. Moore met de maand van de browser-lekken, gevolgd door de maand van de kernel, Apple, PHP, MySpace, zoekmachine-lekken en Twitter-lekken.

UPDATE: Cpanel eerste slachtoffer maand van zero-day lekken

Hackers zijn de maand van zero-day lekken begonnen met een gat in Cpanel, een populair controlepaneel voor het beheren van websites. Via de kwetsbaarheid kunnen aanvallers toegang tot afgeschermde bestanden krijgen en zodoende vertrouwelijke informatie bemachtigen.

Deze informatie kan vervolgens voor verdere aanvallen worden gebruikt en helpt bij het omzeilen van beperkingen zoals mod_security, Safemod en het uitschakelen van functies. De kwetsbaarheid is aanwezig Cpanel 11.25 en eerder, een patch is nog niet beschikbaar. Volgens de onderzoekers van Abysssec betreft het een “critical” lek, maar andere onderzoekers zijn daar niet van overtuigd.

Naast de exploit en proof-of-concept voor het lek in Cpanel, heeft men ook een exploit voor een lek in Adobe Reader en Flash Player online gezet, waar in juni een patch voor verscheen.

(bron: security.nl)

Als het om veiligheid gaat, vindt ruim 34% van de internetgebruikers dat alle websites even gevaarlijk zijn, zo blijkt uit onderzoek van anti-virusbedrijf Avira. De virusbestrijder vroeg ruim drieduizend gebruikers van de anti-virus software waar men het grootste risico liep om door malware besmet te raken. Bijna 27% denkt dat bezoekers van warez-sites het grootste risico lopen, terwijl 22% denkt dat pornosites de meeste infecties veroorzaken. Ook pokersites vormen een risico, zo blijkt uit het onderzoek.

De meeste ondervraagden kozen echter voor de optie dat als het om veiligheid gaat, alle websites even gevaarlijk zijn. “Aan de ene kant is het bemoedigend om te zien dat ruim 33% van onze gebruikers geleerd heeft dat beveiligingsdreigingen vanaf elke website kunnen komen, maar het is ook een kwestie voor onze maatschappij als één op de drie mensen niet de websites kunnen vertrouwen die ze bezoeken”, zegt Sorin Mustaca.

(bron: security.nl)

De Stuxnet-worm die SCADA-systemen infecteert voor het stelen van zeer gevoelige bedrijfsgegevens, is door Microsoft op ruim 46.000 computers aangetroffen. Stuxnet maakte misbruik van een geheel nieuwe aanvalsvector in Windows en gebruikte de legitieme certificaten van Realteak en JMicron. Vanwege de complexiteit van de worm en het feit dat de aanvallers het op SCADA-systemen hadden voorzien, is dit voor veel onderzoekers de meeste complexe worm van 2010, die de Aurora-aanval op Google het werk van amateurs laat lijken.

Verwijdertool
Microsoft voegde vorige week detectie van de worm toe aan de gratis Malicious Software Removal Tool (MSRT). In totaal werd Stuxnet in de afgelopen zeven dagen van 46.351 computers verwijderd, waarvan er bijna 32.000 zich in de VS bevonden. Indonesië is met 11.000 tweede, gevolgd door Iran met 4.800 en India met 2.130.

Inmiddels gebruikt ook andere malware het LNK-lek in Windows om systemen over te nemen, zoals Vobfus en Sality. Deze malware families werden respectievelijk op 149.911 en 130.992 verschillende machines verwijderd. Bij de meeste infecties van deze families werd echter niet het LNK-lek als aanvalsvector gebruikt, maar verspreidde de malware zich op andere wijze.

(bron: security.nl)

In één week tijd heeft McAfee twee belangrijke anti-virustests gefaald, na de test van Virus Bulletin slaagde het anti-virusbedrijf er ook niet in om de test van AV-Test.org te halen. McAfee scoorde vooral slecht op het herstellen van besmette systemen. Ook Trend Micro, Sophos, CA, BullGuard en Norman faalden de test. Norman wist vorige week de Virus Bulletin test, die plaatsvond op Windows Vista, ook niet te halen. De test van AV-Test.org vond plaats op Windows 7.

Om gecertificeerd te worden moesten de virusscanners 12 punten op het gebied van bescherming, herstel en bruikbaarheid halen. Van de 19 virusscanners kwamen er 13 door de keuring heen, waarbij Symantec, Kaspersky Lab en Panda Security alle drie zestien punten scoorden. De enige gratis virusscanner die getest werd was Microsoft Security Essentials, dat een verdienstelijke 14 punten scoorde. Het volledige overzicht van alle tests is op AV-Test.org te vinden.

(bron: security.nl)

Ruim 500.000 domeinnamen bij Network Solutions hebben enige tijd geprobeerd bezoekers met malware te infecteren. Het probleem werd veroorzaakt door een ingebedde kwaadaardige widget. De door Network Solutions aangeboden widget was niet alleen door webmasters van actieve websites geïnstalleerd, maar was ook op honderdduizenden geparkeerde domeinnamen actief.

Chinees
Volgens beveiligingsbedrijf Armorize dat de hack ontdekte, hebben hackers de widget aangepast nadat ze de website waarop die werd aangeboden hadden gehackt. Inmiddels is de kwaadaardige widget door Network Solutions uitgeschakeld en de pagina uit de lucht gehaald.

De in de widget verstopte malware had het voornamelijk op gebruikers van het Chinese QQ Instant Messaging programma voorzien, aangezien er een pop-up met een waarschuwing verscheen die van QQ afkomstig lee. Daarnaast werd er ook nog een JavaScript exploit gebruikt voor het aanmaken van een directory op de computer.

(bron: security.nl)

Securityleveranciers bieden gratis eigen bescherming voor het shortcut-lek in Windows. Microsofts workaround verbergt iconen, deze tools doen dat niet. Toch raadt Microsoft ze af.

De Windows-producent houdt vast aan zijn beleid dat het security-tools van derden voor bugs in zijn producten niet steunt. “We adviseren dat klanten de workaround toepassen die is aangedragen in Security Advisory 2286198”, meldt group manager Jerry Bryant van Microsofts security-responsteam aan Computerworld.

Iconen verdwenen

Die workaround schakelt de weergave van iconen bij snelkoppelingen geheel uit. Daardoor zit de pc-gebruiker opgescheept met veel witte iconen, op het bureaublad maar ook in de taakbalk en het Start-menu. Deze rigoreuze maatregel beschermt klanten volgens Bryant wel tegen alle bekende aanvalsvectoren voor dit beveiligingsgat.

Securityleverancier Sophos stelt dat zijn gratis tool gebruikers ook beschermt. De Windows Shortcut Exploit Protection Tool vervangt namelijk het Windows-component voor de weergave van iconen, waarin het eigenlijke lek zit. Die iconen kunnen op een usb-stick staan, maar ook worden weergegeven via een website die de gebruiker dan bezoekt.

Het vervangende component van Sophos onderschept snelkoppelingen en kijkt of die het lek in de Windows-code willen aanroepen om daarna uitvoerbare code (.exe of een .dll) te draaien. Indien niet, dan worden de iconen gewoon getoond. Indien wel, dan wordt dat geblokkeerd, waarbij de gebruiker ook een melding daarvan krijgt.

‘Erg onpraktisch’

Naast Sophos biedt ook G Data een dergelijke oplossing, eveneens gratis. “Microsoft heeft onmiddellijk gereageerd en een oplossing (hotfix) geboden, die het probleem weliswaar oplost, maar die ervoor zorgt dat alle snelkoppelingen hun iconen verliezen. Dit is erg onpraktisch”, stelt de leverancier.

De tool van G Data werkt ook op zichzelf, dus draait onafhankelijk van het reeds geïnstalleerde beveiligingspakket. De LNK Checker blokkeert malafide snelkoppelingen en geeft de gebruiker een waarschuwing. De producent geeft echter aan dat dubbelklikken van zo’n gevaarlijk bestand toch leidt tot uitvoering ervan. De tool blokkeert dus alleen de automatische uitvoering.

Toch niet volledig

De tool van Sophos beschermt momenteel alleen tegen aanvallen via snelkoppelingen als .lnk-bestand, niet de van MS-Dos afkomstige .pif (program information file). G Data maakt geheel geen melding van .pif. Microsofts complete uitschakeling van iconenweergave dekt beide vormen van snelkoppelingen af.

Zowel Sophos als G Data adviseren Windows-gebruikers om hun oplossing te deïnstalleren wanneer Microsoft eenmaal met een eigen patch is gekomen. De leverancier heeft nog niet bekend gemaakt wanneer dat zal zijn. De aankomende reguliere patchronde is op 10 augustus.

Van 2000 tot preview 7 SP1

Het lek is aanwezig in alle Windows-versies vanaf Windows 2000, zowel in de 32- als de 64-bit uitvoeringen. Ook het huidige Windows 7 en de preview voor het aankomende eerste service pack (SP1) daarvoor.

G-Data merkt nog op dat zijn fix ook werkt op de sinds kort niet meer door Microsoft ondersteunde versies 2000 en XP SP2. Zodra Microsoft met een patch komt, zal die niet automatisch gelden voor die oudere Windows-versies. De tool van Sophos draait niet op 2000.

Sophos demonstreert het shortcut-lek op Windows 7:

(Bron: webwereld.nl)

Niet Zeus, maar Butterfly is de meest voorkomende malware ter wereld, zo blijkt uit cijfers van beveiligingsbedrijf FireEye. Was Zeus voorheen nog de nummer één onder cybercriminelen, inmiddels is het naar de derde plek afgezakt en goed voor 3,62% van alle infecties. Op de tweede plaats staat met 4,7% het relatief onbekende Trojaanse paard ‘Hiloti’. De absolute nummer één is Butterfly, ook bekend als Mariposa en Palevo. Deze malware werd op 7,5% van alle besmette machines aangetroffen. Ook de anderhalf jaar oude Conficker worm komt in het overzicht terug. Met een aandeel van 2,5% staat het op de elfde plaats.

FireEye erkent dat het lastig is om kloppende cijfers te geven. “Het bepalen van de volume van een bepaalde malware-familie is een lastige taak. Veel anti-virusbedrijven hebben dit in het verleden geprobeerd. Het probleem is dat veel van deze schattingen alleen op de eigen interne gegevens zijn gebaseerd. Aan de hand van een ‘wat wij het meeste detecteren’ techniek, die soms de eigen tekortkomingen over het hoofd ziet”, zegt Atif Mushtaq van FireEye. Het bedrijf baseerde zich daarom op de cijfers van het ‘MAX Cloud Intelligence network’ en vergeleek dat met de cijfers van andere anti-virusbedrijven.

Opvallen
Naast het aantal besmette machines, werd ook naar het aantal malware exemplaren gekeken. Dan blijkt dat het Virut-virus het meest voorkomt. “Het grote aantal unieke malware exemplaren is logisch. Virut is een file infecter die zichzelf in elk uitvoerbaar bestand op besmette computers injecteert”, aldus Mushtaq. Daardoor kan één besmette machine duizenden kopieën van de malware bevatten.

Butterfly staat pas op de negende plek als het gaat om het aantal exemplaren. “Dit is bewijs dat de cybercriminelen die erachter zitten zeer succesvol zijn in het niet opvallen.” De Butterfly-toolkit laat cybercriminelen eenvoudig een eigen botnet maken. Net als met de Zeus Trojan zijn er daardoor meerdere botnets met deze malware, maar worden die allemaal door andere criminelen beheerd. Begin maart werd één van deze Mariposa-botnets, bestaande uit 13 miljoen computers, door de autoriteiten ontmanteld.

(bron: security.nl)

De georganiseerde misdaad zit achter de meeste data-lekken, dat beweert Verizon in het jaarrapport. Het ‘ Data Breach Investigations Report’ bestaat uit gegevens van zowel Verizon als de Amerikaanse Secret Service en omvat 141 zaken, waarbij meer dan 143 miljoen gegevens werden buitgemaakt. Veel minder dan de 360 miljoen records uit 2008. Onder de landen waar één of meerdere incidenten plaatsvonden bevindt zich ook Nederland.

Incidenten die vaak het werk van criminelen zijn. De georganiseerde misdaad was voor 85% van de gestolen gegevens verantwoordelijk. Bij 38% van de incidenten werden gestolen inloggegevens gebruikt en 86% van de slachtoffers had bewijs van de aanval in hun logbestanden. Verder blijkt dat servers het favoriete doelwit van de aanvallers zijn, aangezien 98% van alle gestolen data hier van afkomstig is.

Belangrijke les
Verder blijkt dat 62% van de ‘threat agents’, entiteiten die het incident veroorzaakten of hier aan bijdroegen, extern is. 46% is intern en in tien procent van de gevallen is een partner betrokken. Volgens Verizon kunnen er meerdere agents bij een incident betrokken zijn, vandaar dat de waarden boven de honderd procent uitkomen.

Verizon concludeert dat de moeilijkheidsgraad van de meeste aanvallen iets hoger was dan het jaar ervoor. “Er ligt hier een belangrijke les voor security management. Ja, onze tegenstanders zijn vakkundig en vindingrijk, maar dit onderzoek laat zien dat ons beroep de benodigde tools heeft om de klus te klaren. De uitdaging is het selecteren van de juiste tools en ze te blijven gebruiken”, aldus het bedrijf. Dat geeft als tips het beperken en monitoren van geprivilegieerde gebruikers, alert zijn op kleine policy overtredingen en het implementeren van maatregelen om misbruik van gestolen gegevens tegen te gaan.

(bron: security.nl)

Het aantal beveiligingslekken in Java is vorig jaar verdubbeld en dit jaar lijkt het nog erger te worden, wat een probleem is, aangezien Java op bijna alle computers aanwezig is. Volgens Symantec zijn Java-lekken ideaal voor aanvallers, omdat het vaak om logische fouten gaat. Ze zijn niet afhankelijk van geheugencorruptie, waardoor de exploits extreem betrouwbaar zijn en geen beveiliging hoeven te omzeilen. Maatregelen zoals ASLR en DEP bieden geen bescherming, wat ook geldt voor de sandbox van Google Chrome en de Protected Mode van Internet Explorer.

“Dit zijn ontwerpfouten die beperkte Java code de Java security sandbox laten ontsnappen en in dezelfde omgeving uitvoeren waar ze voor ontworpen waren, alleen dan met volledige privileges”, zegt Symantec’s Adrian Pisarczyk.

Uitschakelen
Een ander probleem met Java is dat het platform en browser onafhankelijk is. Dat verklaart volgens Pisarczyk de populariteit van de technologie bij academici en opensource gemeenschappen, maar maakt het ook interessant voor aanvallers. “De aard van deze problemen maakt detectie lastig. De exploit en lading worden in gecompileerde byte code geleverd, waarvan het parsen meestal buiten de mogelijkheden van beveiligingssoftware ligt.”

De virusbestrijder bekritiseert ook de patchprocedure van Oracle, die te wensen overlaat. Gebruikers en bedrijven die Java niet nodig hebben, doen er dan ook verstandig aan om het uit te schakelen. Symantec verwacht in de toekomst namelijk nog veel meer aanvallen die van Java misbruik maken.

Microsoft heeft de gevaarlijke Alureon rootkit, die in februari nog voor talloze crashende systemen zorgde, van ruim 260.000 Windows computers verwijderd. Een update voor de Windows kernel die de besmette systemen probeerden te installeren, conflicteerde met de al aanwezige rootkit, resulterend in een blauw scherm.

Adminrechten
Met name Windows XP SP3 systemen blijken in vergelijking met andere systemen veel geïnfecteerd te zijn. 55% van alle Alureon infecties werd op deze Windows versie aangetroffen, gevolgd door SP2 met 13%. Een reden hiervoor is dat veel van deze gebruikers standaard adminrechten hebben, iets wat de malware vereist om te werken.

Sinds april herkent de Malicious Software Removal Tool de aanwezigheid van de rootkit en is in staat die te verwijderen, wat 262.969 keer gebeurde. In totaal verwijderde Microsoft in april malware van ruim drie miljoen machines.

(bron: security.nl)