Lost in the Noise

Een maand lang zullen hackers en beveiligingsonderzoekers zero-day lekken in de software van Adobe, Microsoft, Mozilla, Apple en andere leveranciers onthullen. De ’0day collectie’ van Abysssec Security Research bestaat uit proof-of-concepts en exploits voor Microsoft Excel, Internet Explorer, verschillende Microsoft codecs, Cpanel en andere programma’s. “Zet je helm op en je VM’s en debugging tools klaar, het wordt een heftige rit”, aldus Abysssec. Vandaag zullen de eerste exploits op Exploit-db.com verschijnen.

Volgens Trend Micro onderzoeker Rajiv Motwani, zullen de meeste aangekondigde lekken voor Microsoft producten zijn. Het gaat zowel om oude als nieuwe problemen waar exploits voor zijn ontwikkeld. “Nieuwe informatie die tijdens deze periode uitkomt zal waarschijnlijk snel worden misbruikt, waardoor meer gebruikers risico lopen.” In het geval van de aangekondigde kwetsbaarheid in Internet Explorer zou er binnen een paar uur een proof-of-concept klaar kunnen staan, waarschuwt Jonathan Leopando van Trend Micro.

Drie jaar geleden begon beveiligingsonderzoeker H.D. Moore met de maand van de browser-lekken, gevolgd door de maand van de kernel, Apple, PHP, MySpace, zoekmachine-lekken en Twitter-lekken.

UPDATE: Cpanel eerste slachtoffer maand van zero-day lekken

Hackers zijn de maand van zero-day lekken begonnen met een gat in Cpanel, een populair controlepaneel voor het beheren van websites. Via de kwetsbaarheid kunnen aanvallers toegang tot afgeschermde bestanden krijgen en zodoende vertrouwelijke informatie bemachtigen.

Deze informatie kan vervolgens voor verdere aanvallen worden gebruikt en helpt bij het omzeilen van beperkingen zoals mod_security, Safemod en het uitschakelen van functies. De kwetsbaarheid is aanwezig Cpanel 11.25 en eerder, een patch is nog niet beschikbaar. Volgens de onderzoekers van Abysssec betreft het een “critical” lek, maar andere onderzoekers zijn daar niet van overtuigd.

Naast de exploit en proof-of-concept voor het lek in Cpanel, heeft men ook een exploit voor een lek in Adobe Reader en Flash Player online gezet, waar in juni een patch voor verscheen.

(bron: security.nl)

Als het om veiligheid gaat, vindt ruim 34% van de internetgebruikers dat alle websites even gevaarlijk zijn, zo blijkt uit onderzoek van anti-virusbedrijf Avira. De virusbestrijder vroeg ruim drieduizend gebruikers van de anti-virus software waar men het grootste risico liep om door malware besmet te raken. Bijna 27% denkt dat bezoekers van warez-sites het grootste risico lopen, terwijl 22% denkt dat pornosites de meeste infecties veroorzaken. Ook pokersites vormen een risico, zo blijkt uit het onderzoek.

De meeste ondervraagden kozen echter voor de optie dat als het om veiligheid gaat, alle websites even gevaarlijk zijn. “Aan de ene kant is het bemoedigend om te zien dat ruim 33% van onze gebruikers geleerd heeft dat beveiligingsdreigingen vanaf elke website kunnen komen, maar het is ook een kwestie voor onze maatschappij als één op de drie mensen niet de websites kunnen vertrouwen die ze bezoeken”, zegt Sorin Mustaca.

(bron: security.nl)

De Stuxnet-worm die SCADA-systemen infecteert voor het stelen van zeer gevoelige bedrijfsgegevens, is door Microsoft op ruim 46.000 computers aangetroffen. Stuxnet maakte misbruik van een geheel nieuwe aanvalsvector in Windows en gebruikte de legitieme certificaten van Realteak en JMicron. Vanwege de complexiteit van de worm en het feit dat de aanvallers het op SCADA-systemen hadden voorzien, is dit voor veel onderzoekers de meeste complexe worm van 2010, die de Aurora-aanval op Google het werk van amateurs laat lijken.

Verwijdertool
Microsoft voegde vorige week detectie van de worm toe aan de gratis Malicious Software Removal Tool (MSRT). In totaal werd Stuxnet in de afgelopen zeven dagen van 46.351 computers verwijderd, waarvan er bijna 32.000 zich in de VS bevonden. Indonesië is met 11.000 tweede, gevolgd door Iran met 4.800 en India met 2.130.

Inmiddels gebruikt ook andere malware het LNK-lek in Windows om systemen over te nemen, zoals Vobfus en Sality. Deze malware families werden respectievelijk op 149.911 en 130.992 verschillende machines verwijderd. Bij de meeste infecties van deze families werd echter niet het LNK-lek als aanvalsvector gebruikt, maar verspreidde de malware zich op andere wijze.

(bron: security.nl)

In één week tijd heeft McAfee twee belangrijke anti-virustests gefaald, na de test van Virus Bulletin slaagde het anti-virusbedrijf er ook niet in om de test van AV-Test.org te halen. McAfee scoorde vooral slecht op het herstellen van besmette systemen. Ook Trend Micro, Sophos, CA, BullGuard en Norman faalden de test. Norman wist vorige week de Virus Bulletin test, die plaatsvond op Windows Vista, ook niet te halen. De test van AV-Test.org vond plaats op Windows 7.

Om gecertificeerd te worden moesten de virusscanners 12 punten op het gebied van bescherming, herstel en bruikbaarheid halen. Van de 19 virusscanners kwamen er 13 door de keuring heen, waarbij Symantec, Kaspersky Lab en Panda Security alle drie zestien punten scoorden. De enige gratis virusscanner die getest werd was Microsoft Security Essentials, dat een verdienstelijke 14 punten scoorde. Het volledige overzicht van alle tests is op AV-Test.org te vinden.

(bron: security.nl)

Ruim 500.000 domeinnamen bij Network Solutions hebben enige tijd geprobeerd bezoekers met malware te infecteren. Het probleem werd veroorzaakt door een ingebedde kwaadaardige widget. De door Network Solutions aangeboden widget was niet alleen door webmasters van actieve websites geïnstalleerd, maar was ook op honderdduizenden geparkeerde domeinnamen actief.

Chinees
Volgens beveiligingsbedrijf Armorize dat de hack ontdekte, hebben hackers de widget aangepast nadat ze de website waarop die werd aangeboden hadden gehackt. Inmiddels is de kwaadaardige widget door Network Solutions uitgeschakeld en de pagina uit de lucht gehaald.

De in de widget verstopte malware had het voornamelijk op gebruikers van het Chinese QQ Instant Messaging programma voorzien, aangezien er een pop-up met een waarschuwing verscheen die van QQ afkomstig lee. Daarnaast werd er ook nog een JavaScript exploit gebruikt voor het aanmaken van een directory op de computer.

(bron: security.nl)

Securityleveranciers bieden gratis eigen bescherming voor het shortcut-lek in Windows. Microsofts workaround verbergt iconen, deze tools doen dat niet. Toch raadt Microsoft ze af.

De Windows-producent houdt vast aan zijn beleid dat het security-tools van derden voor bugs in zijn producten niet steunt. “We adviseren dat klanten de workaround toepassen die is aangedragen in Security Advisory 2286198”, meldt group manager Jerry Bryant van Microsofts security-responsteam aan Computerworld.

Iconen verdwenen

Die workaround schakelt de weergave van iconen bij snelkoppelingen geheel uit. Daardoor zit de pc-gebruiker opgescheept met veel witte iconen, op het bureaublad maar ook in de taakbalk en het Start-menu. Deze rigoreuze maatregel beschermt klanten volgens Bryant wel tegen alle bekende aanvalsvectoren voor dit beveiligingsgat.

Securityleverancier Sophos stelt dat zijn gratis tool gebruikers ook beschermt. De Windows Shortcut Exploit Protection Tool vervangt namelijk het Windows-component voor de weergave van iconen, waarin het eigenlijke lek zit. Die iconen kunnen op een usb-stick staan, maar ook worden weergegeven via een website die de gebruiker dan bezoekt.

Het vervangende component van Sophos onderschept snelkoppelingen en kijkt of die het lek in de Windows-code willen aanroepen om daarna uitvoerbare code (.exe of een .dll) te draaien. Indien niet, dan worden de iconen gewoon getoond. Indien wel, dan wordt dat geblokkeerd, waarbij de gebruiker ook een melding daarvan krijgt.

‘Erg onpraktisch’

Naast Sophos biedt ook G Data een dergelijke oplossing, eveneens gratis. “Microsoft heeft onmiddellijk gereageerd en een oplossing (hotfix) geboden, die het probleem weliswaar oplost, maar die ervoor zorgt dat alle snelkoppelingen hun iconen verliezen. Dit is erg onpraktisch”, stelt de leverancier.

De tool van G Data werkt ook op zichzelf, dus draait onafhankelijk van het reeds geïnstalleerde beveiligingspakket. De LNK Checker blokkeert malafide snelkoppelingen en geeft de gebruiker een waarschuwing. De producent geeft echter aan dat dubbelklikken van zo’n gevaarlijk bestand toch leidt tot uitvoering ervan. De tool blokkeert dus alleen de automatische uitvoering.

Toch niet volledig

De tool van Sophos beschermt momenteel alleen tegen aanvallen via snelkoppelingen als .lnk-bestand, niet de van MS-Dos afkomstige .pif (program information file). G Data maakt geheel geen melding van .pif. Microsofts complete uitschakeling van iconenweergave dekt beide vormen van snelkoppelingen af.

Zowel Sophos als G Data adviseren Windows-gebruikers om hun oplossing te deïnstalleren wanneer Microsoft eenmaal met een eigen patch is gekomen. De leverancier heeft nog niet bekend gemaakt wanneer dat zal zijn. De aankomende reguliere patchronde is op 10 augustus.

Van 2000 tot preview 7 SP1

Het lek is aanwezig in alle Windows-versies vanaf Windows 2000, zowel in de 32- als de 64-bit uitvoeringen. Ook het huidige Windows 7 en de preview voor het aankomende eerste service pack (SP1) daarvoor.

G-Data merkt nog op dat zijn fix ook werkt op de sinds kort niet meer door Microsoft ondersteunde versies 2000 en XP SP2. Zodra Microsoft met een patch komt, zal die niet automatisch gelden voor die oudere Windows-versies. De tool van Sophos draait niet op 2000.

Sophos demonstreert het shortcut-lek op Windows 7:

(Bron: webwereld.nl)

De georganiseerde misdaad zit achter de meeste data-lekken, dat beweert Verizon in het jaarrapport. Het ‘ Data Breach Investigations Report’ bestaat uit gegevens van zowel Verizon als de Amerikaanse Secret Service en omvat 141 zaken, waarbij meer dan 143 miljoen gegevens werden buitgemaakt. Veel minder dan de 360 miljoen records uit 2008. Onder de landen waar één of meerdere incidenten plaatsvonden bevindt zich ook Nederland.

Incidenten die vaak het werk van criminelen zijn. De georganiseerde misdaad was voor 85% van de gestolen gegevens verantwoordelijk. Bij 38% van de incidenten werden gestolen inloggegevens gebruikt en 86% van de slachtoffers had bewijs van de aanval in hun logbestanden. Verder blijkt dat servers het favoriete doelwit van de aanvallers zijn, aangezien 98% van alle gestolen data hier van afkomstig is.

Belangrijke les
Verder blijkt dat 62% van de ‘threat agents’, entiteiten die het incident veroorzaakten of hier aan bijdroegen, extern is. 46% is intern en in tien procent van de gevallen is een partner betrokken. Volgens Verizon kunnen er meerdere agents bij een incident betrokken zijn, vandaar dat de waarden boven de honderd procent uitkomen.

Verizon concludeert dat de moeilijkheidsgraad van de meeste aanvallen iets hoger was dan het jaar ervoor. “Er ligt hier een belangrijke les voor security management. Ja, onze tegenstanders zijn vakkundig en vindingrijk, maar dit onderzoek laat zien dat ons beroep de benodigde tools heeft om de klus te klaren. De uitdaging is het selecteren van de juiste tools en ze te blijven gebruiken”, aldus het bedrijf. Dat geeft als tips het beperken en monitoren van geprivilegieerde gebruikers, alert zijn op kleine policy overtredingen en het implementeren van maatregelen om misbruik van gestolen gegevens tegen te gaan.

(bron: security.nl)

De slimme energiemeters die in de VS in huizen worden geïnstalleerd, zijn volgens onderzoekers onvoldoende beveiligd. Kwaadwillenden kunnen niet alleen de meterstand manipuleren, maar ook de elektriciteit op afstand uitzetten.

Een aantal onderzoekers heeft in opdracht van enkele energieleveranciers de slimme energiemeters van vijf fabrikanten nagelopen op veiligheidsproblemen. De onderzochte meetapparatuur, die op beperkte schaal al is geïnstalleerd, staat in draadloos contact met de systemen van de energieproducenten en geeft continu het verbruik van een huishouden of bedrijf door. Onderzoekers stellen echter dat zij gevaarlijke gaten in de beveiliging van de slimme meters en de aansluitende infrastructuur hebben ontdekt.

Volgens de onderzoekers van de firma InGuardians kan een kwaadwillende een slimme energiemeter, die in de VS soms aan de buitenkant van een huis is gemonteerd, stelen en herprogrammeren. Daarnaast zouden de meters ook draadloos kunnen worden aangevallen. Daarbij zijn niet alleen de meterstanden te manipuleren, ook zou een huishouden of bedrijf van het energienet kunnen worden afgesloten. De gevonden kwetsbaarheden maken ook aanvallen op het hele elektriciteitsnetwerk mogelijk, zo meldt AP.

Uit het onderzoek zou onder andere zijn gebleken dat vooral de draadloze protocollen kwetsbaar zijn. Zo zouden bijvoorbeeld de sleutels die voor de encryptie nodig zijn, in deaccess points van de energiebedrijven zijn opgeslagen. Een hacker die deze sleutel weet te bemachtigen, zou alle data die door omliggende slimme energiemeters naar het access point worden gestuurd, kunnen onderscheppen. Volgens de onderzoekers moet de uitgifte van encryptiesleutels via de centrale systemen van de energiebedrijven worden geregeld. Bovendien zouden andere protocollen die door de slimme meters worden gebruikt, ‘flagrante’ fouten bevatten. Deze fouten zouden al meer dan tien jaar bij ontwikkelaars bekend zijn, maar desondanks weer in de software opduiken.

Er zou nog geen bewijs zijn gevonden dat de kwetsbaarheden in de meters in de praktijk zijn misbruikt, maar volgens de onderzoekers kan dit ook zijn gebeurd zonder dat de elektriciteitsleveranciers dit hebben gemerkt. De onderzoekers concluderen dat de gebruikte technologie van de onderzochte slimme meters nog lang niet volwassen is. De geconstateerde fouten zouden inmiddels door de betrokken energiebedrijven zijn gedicht, maar het probleem kan nog veel groter zijn. In totaal zijn in de VS al 8 miljoen slimme meters in gebruik en de energieleveranciers willen voor 2020 meer dan 60 miljoen meters hebben geïnstalleerd.

(bron: tweakers.net)

Newzbin, een indexeringsdienst voor usenet, heeft voor de High Court in Londen een rechtszaak die was aangespannen door de Hollywood-studio’s verloren. Het bedrijf zou zich schuldig maken aan copyrightschending door nzb’s aan te bieden.

De zaak tegen Newzbin was aangespannen door Columbia Pictures, Disney, Paramount, Twentieth Century Fox, Universal en Warner Bros, verenigd in de MPA. De MPA beschuldigde de indexeringsdienst van piraterij, omdat het films op usenet opspoort, via een zoekmachine vindbaar maakt en als een nzb-bestand toegankelijk maakt voor betalende leden. De verdediging van Newzbin stelde dat de website heel usenet indexeert en daarin te vergelijken is met een bedrijf als Google. Ook zou het zelf geen content hosten, maar uitsluitend linken naar bestanden die op newsservers van externe partijen staan.

De rechter heeft de MPA in het gelijk gesteld en zal in de komende dagen de strafmaat bepalen. Volgens het Hof blijkt uit het aangedragen bewijs dat Newzbin betalende leden faciliteert om illegale kopieën van films via usenet binnen te halen, waarbij vooral wordt gerefereerd aan de mogelijkheid om een verwijzend nzb-bestand te downloaden. Daarnaast zou het bedrijf zijn leden aanmoedigen om met copyrights beschermde films op te sporen en zouden notice and takedowns slechts cosmetisch van aard zijn geweest.

Een ander punt waarover de rechtbank viel was dat Newzbin veel geld zou verdienen met zijn diensten voor abonnees. Uit aangedragen stukken zou blijken dat het bedrijf in 2009 een omzet van meer dan 1 miljoen pond en een winst van 360.000 had. Newzbin zou 700.000 leden hebben.

Newzbin reageert teleurgesteld op het vonnis. Volgens de indexeringsdienst leven de Hollywood-studio’s nog in het ‘technologische stenen tijdperk’ en zou de MPA bovendien via de Digital Enterprise Bill aansturen op ‘Chinese censuurmaatregelen’ in het Verenigd Koninkrijk. Newzbin stelt dat het nog studeert op de uitspraak en nog niet weet of het in hoger beroep gaat, ‘mede gezien de hoge kosten’. De MPA laat op zijn beurtweten verheugd te zijn over het vonnis. Volgens de organisatie blijkt dat ook websites die zelf geen illegale content hosten, maar er wel naar verwijzen, eveneens strafbaar zijn.

(bron: tweakers.net)

Vorig jaar hield iedereen de adem in voor 1 april, de dag dat Conficker.C actief zou worden, maar er gebeurde uiteindelijk niets. De worm zou op die dag mogelijk instructies voor de volgende fase van de aanval ontvangen, met als gevolg een ware mediahype. Toch resulteerde dat er niet in dat het aantal Conficker infecties sterk afnam. Nog altijd zijn 6,5 miljoen computers met de worm besmet.

Het gaat dan om voornamelijk de A en B varianten van de worm. De C-variant, die een P2P-methode gebruikt om zich te verspreiden, is het afgelopen jaar langzaam uitgestorven. Op het hoogtepunt waren er nog zo’n 1,5 miljoen infecties, maar inmiddels is het aantal onder de 220.000 gekomen. Dat duidt er volgens virusbestrijder Symantec op dat sommige gebruikers wel actie ondernemen om de C-variant te verwijderen. Het botnet werd uiteindelijk kort gebruikt voor het verspreiden van nep-virusscanners en spam, maar daar bleef het bij.

Waakzaam
Orla Cox, security operations manager, merkt op dat de besmette machines nauwlettend door opsporingsdiensten in de gaten worden gehouden. Teveel aandacht kan ervoor zorgen dat de criminelen achter Conficker de stekker eruit trekken. “De industrie en opsporingsdiensten zijn waakzaam, maar de 6,5 miljoen geïnfecteerde PC’s zijn net als een geladen pistool, dat wacht om af te gaan.” De beveiliger maakte onderstaande video die de ontwikkeling van Conficker samenvat.

(Bron: security.nl)