Volgens Trend Micro onderzoeker Rajiv Motwani, zullen de meeste aangekondigde lekken voor Microsoft producten zijn. Het gaat zowel om oude als nieuwe problemen waar exploits voor zijn ontwikkeld. “Nieuwe informatie die tijdens deze periode uitkomt zal waarschijnlijk snel worden misbruikt, waardoor meer gebruikers risico lopen.” In het geval van de aangekondigde kwetsbaarheid in Internet Explorer zou er binnen een paar uur een proof-of-concept klaar kunnen staan, waarschuwt Jonathan Leopando van Trend Micro.

Drie jaar geleden begon beveiligingsonderzoeker H.D. Moore met de maand van de browser-lekken, gevolgd door de maand van de kernel, Apple, PHP, MySpace, zoekmachine-lekken en Twitter-lekken.

UPDATE: Cpanel eerste slachtoffer maand van zero-day lekken

Hackers zijn de maand van zero-day lekken begonnen met een gat in Cpanel, een populair controlepaneel voor het beheren van websites. Via de kwetsbaarheid kunnen aanvallers toegang tot afgeschermde bestanden krijgen en zodoende vertrouwelijke informatie bemachtigen.

Deze informatie kan vervolgens voor verdere aanvallen worden gebruikt en helpt bij het omzeilen van beperkingen zoals mod_security, Safemod en het uitschakelen van functies. De kwetsbaarheid is aanwezig Cpanel 11.25 en eerder, een patch is nog niet beschikbaar. Volgens de onderzoekers van Abysssec betreft het een “critical” lek, maar andere onderzoekers zijn daar niet van overtuigd.

Naast de exploit en proof-of-concept voor het lek in Cpanel, heeft men ook een exploit voor een lek in Adobe Reader en Flash Player online gezet, waar in juni een patch voor verscheen.

(bron: security.nl)

De meeste ondervraagden kozen echter voor de optie dat als het om veiligheid gaat, alle websites even gevaarlijk zijn. “Aan de ene kant is het bemoedigend om te zien dat ruim 33% van onze gebruikers geleerd heeft dat beveiligingsdreigingen vanaf elke website kunnen komen, maar het is ook een kwestie voor onze maatschappij als één op de drie mensen niet de websites kunnen vertrouwen die ze bezoeken”, zegt Sorin Mustaca.

(bron: security.nl)

Verwijdertool
Microsoft voegde vorige week detectie van de worm toe aan de gratis Malicious Software Removal Tool (MSRT). In totaal werd Stuxnet in de afgelopen zeven dagen van 46.351 computers verwijderd, waarvan er bijna 32.000 zich in de VS bevonden. Indonesië is met 11.000 tweede, gevolgd door Iran met 4.800 en India met 2.130.

Inmiddels gebruikt ook andere malware het LNK-lek in Windows om systemen over te nemen, zoals Vobfus en Sality. Deze malware families werden respectievelijk op 149.911 en 130.992 verschillende machines verwijderd. Bij de meeste infecties van deze families werd echter niet het LNK-lek als aanvalsvector gebruikt, maar verspreidde de malware zich op andere wijze.

(bron: security.nl)

Om gecertificeerd te worden moesten de virusscanners 12 punten op het gebied van bescherming, herstel en bruikbaarheid halen. Van de 19 virusscanners kwamen er 13 door de keuring heen, waarbij Symantec, Kaspersky Lab en Panda Security alle drie zestien punten scoorden. De enige gratis virusscanner die getest werd was Microsoft Security Essentials, dat een verdienstelijke 14 punten scoorde. Het volledige overzicht van alle tests is op AV-Test.org te vinden.

(bron: security.nl)

Chinees
Volgens beveiligingsbedrijf Armorize dat de hack ontdekte, hebben hackers de widget aangepast nadat ze de website waarop die werd aangeboden hadden gehackt. Inmiddels is de kwaadaardige widget door Network Solutions uitgeschakeld en de pagina uit de lucht gehaald.

De in de widget verstopte malware had het voornamelijk op gebruikers van het Chinese QQ Instant Messaging programma voorzien, aangezien er een pop-up met een waarschuwing verscheen die van QQ afkomstig lee. Daarnaast werd er ook nog een JavaScript exploit gebruikt voor het aanmaken van een directory op de computer.

(bron: security.nl)

De Windows-producent houdt vast aan zijn beleid dat het security-tools van derden voor bugs in zijn producten niet steunt. “We adviseren dat klanten de workaround toepassen die is aangedragen in Security Advisory 2286198”, meldt group manager Jerry Bryant van Microsofts security-responsteam aan Computerworld.

Iconen verdwenen

Die workaround schakelt de weergave van iconen bij snelkoppelingen geheel uit. Daardoor zit de pc-gebruiker opgescheept met veel witte iconen, op het bureaublad maar ook in de taakbalk en het Start-menu. Deze rigoreuze maatregel beschermt klanten volgens Bryant wel tegen alle bekende aanvalsvectoren voor dit beveiligingsgat.

Securityleverancier Sophos stelt dat zijn gratis tool gebruikers ook beschermt. De Windows Shortcut Exploit Protection Tool vervangt namelijk het Windows-component voor de weergave van iconen, waarin het eigenlijke lek zit. Die iconen kunnen op een usb-stick staan, maar ook worden weergegeven via een website die de gebruiker dan bezoekt.

Het vervangende component van Sophos onderschept snelkoppelingen en kijkt of die het lek in de Windows-code willen aanroepen om daarna uitvoerbare code (.exe of een .dll) te draaien. Indien niet, dan worden de iconen gewoon getoond. Indien wel, dan wordt dat geblokkeerd, waarbij de gebruiker ook een melding daarvan krijgt.

‘Erg onpraktisch’

Naast Sophos biedt ook G Data een dergelijke oplossing, eveneens gratis. “Microsoft heeft onmiddellijk gereageerd en een oplossing (hotfix) geboden, die het probleem weliswaar oplost, maar die ervoor zorgt dat alle snelkoppelingen hun iconen verliezen. Dit is erg onpraktisch”, stelt de leverancier.

De tool van G Data werkt ook op zichzelf, dus draait onafhankelijk van het reeds geïnstalleerde beveiligingspakket. De LNK Checker blokkeert malafide snelkoppelingen en geeft de gebruiker een waarschuwing. De producent geeft echter aan dat dubbelklikken van zo’n gevaarlijk bestand toch leidt tot uitvoering ervan. De tool blokkeert dus alleen de automatische uitvoering.

Toch niet volledig

De tool van Sophos beschermt momenteel alleen tegen aanvallen via snelkoppelingen als .lnk-bestand, niet de van MS-Dos afkomstige .pif (program information file). G Data maakt geheel geen melding van .pif. Microsofts complete uitschakeling van iconenweergave dekt beide vormen van snelkoppelingen af.

Zowel Sophos als G Data adviseren Windows-gebruikers om hun oplossing te deïnstalleren wanneer Microsoft eenmaal met een eigen patch is gekomen. De leverancier heeft nog niet bekend gemaakt wanneer dat zal zijn. De aankomende reguliere patchronde is op 10 augustus.

Van 2000 tot preview 7 SP1

Het lek is aanwezig in alle Windows-versies vanaf Windows 2000, zowel in de 32- als de 64-bit uitvoeringen. Ook het huidige Windows 7 en de preview voor het aankomende eerste service pack (SP1) daarvoor.

G-Data merkt nog op dat zijn fix ook werkt op de sinds kort niet meer door Microsoft ondersteunde versies 2000 en XP SP2. Zodra Microsoft met een patch komt, zal die niet automatisch gelden voor die oudere Windows-versies. De tool van Sophos draait niet op 2000.

Sophos demonstreert het shortcut-lek op Windows 7:

(Bron: webwereld.nl)

FireEye erkent dat het lastig is om kloppende cijfers te geven. “Het bepalen van de volume van een bepaalde malware-familie is een lastige taak. Veel anti-virusbedrijven hebben dit in het verleden geprobeerd. Het probleem is dat veel van deze schattingen alleen op de eigen interne gegevens zijn gebaseerd. Aan de hand van een ‘wat wij het meeste detecteren’ techniek, die soms de eigen tekortkomingen over het hoofd ziet”, zegt Atif Mushtaq van FireEye. Het bedrijf baseerde zich daarom op de cijfers van het ‘MAX Cloud Intelligence network’ en vergeleek dat met de cijfers van andere anti-virusbedrijven.

Opvallen
Naast het aantal besmette machines, werd ook naar het aantal malware exemplaren gekeken. Dan blijkt dat het Virut-virus het meest voorkomt. “Het grote aantal unieke malware exemplaren is logisch. Virut is een file infecter die zichzelf in elk uitvoerbaar bestand op besmette computers injecteert”, aldus Mushtaq. Daardoor kan één besmette machine duizenden kopieën van de malware bevatten.

Butterfly staat pas op de negende plek als het gaat om het aantal exemplaren. “Dit is bewijs dat de cybercriminelen die erachter zitten zeer succesvol zijn in het niet opvallen.” De Butterfly-toolkit laat cybercriminelen eenvoudig een eigen botnet maken. Net als met de Zeus Trojan zijn er daardoor meerdere botnets met deze malware, maar worden die allemaal door andere criminelen beheerd. Begin maart werd één van deze Mariposa-botnets, bestaande uit 13 miljoen computers, door de autoriteiten ontmanteld.

(bron: security.nl)

Incidenten die vaak het werk van criminelen zijn. De georganiseerde misdaad was voor 85% van de gestolen gegevens verantwoordelijk. Bij 38% van de incidenten werden gestolen inloggegevens gebruikt en 86% van de slachtoffers had bewijs van de aanval in hun logbestanden. Verder blijkt dat servers het favoriete doelwit van de aanvallers zijn, aangezien 98% van alle gestolen data hier van afkomstig is.

Belangrijke les
Verder blijkt dat 62% van de ‘threat agents’, entiteiten die het incident veroorzaakten of hier aan bijdroegen, extern is. 46% is intern en in tien procent van de gevallen is een partner betrokken. Volgens Verizon kunnen er meerdere agents bij een incident betrokken zijn, vandaar dat de waarden boven de honderd procent uitkomen.

Verizon concludeert dat de moeilijkheidsgraad van de meeste aanvallen iets hoger was dan het jaar ervoor. “Er ligt hier een belangrijke les voor security management. Ja, onze tegenstanders zijn vakkundig en vindingrijk, maar dit onderzoek laat zien dat ons beroep de benodigde tools heeft om de klus te klaren. De uitdaging is het selecteren van de juiste tools en ze te blijven gebruiken”, aldus het bedrijf. Dat geeft als tips het beperken en monitoren van geprivilegieerde gebruikers, alert zijn op kleine policy overtredingen en het implementeren van maatregelen om misbruik van gestolen gegevens tegen te gaan.

(bron: security.nl)

“Dit zijn ontwerpfouten die beperkte Java code de Java security sandbox laten ontsnappen en in dezelfde omgeving uitvoeren waar ze voor ontworpen waren, alleen dan met volledige privileges”, zegt Symantec’s Adrian Pisarczyk.

Uitschakelen
Een ander probleem met Java is dat het platform en browser onafhankelijk is. Dat verklaart volgens Pisarczyk de populariteit van de technologie bij academici en opensource gemeenschappen, maar maakt het ook interessant voor aanvallers. “De aard van deze problemen maakt detectie lastig. De exploit en lading worden in gecompileerde byte code geleverd, waarvan het parsen meestal buiten de mogelijkheden van beveiligingssoftware ligt.”

De virusbestrijder bekritiseert ook de patchprocedure van Oracle, die te wensen overlaat. Gebruikers en bedrijven die Java niet nodig hebben, doen er dan ook verstandig aan om het uit te schakelen. Symantec verwacht in de toekomst namelijk nog veel meer aanvallen die van Java misbruik maken.

Adminrechten
Met name Windows XP SP3 systemen blijken in vergelijking met andere systemen veel geïnfecteerd te zijn. 55% van alle Alureon infecties werd op deze Windows versie aangetroffen, gevolgd door SP2 met 13%. Een reden hiervoor is dat veel van deze gebruikers standaard adminrechten hebben, iets wat de malware vereist om te werken.

Sinds april herkent de Malicious Software Removal Tool de aanwezigheid van de rootkit en is in staat die te verwijderen, wat 262.969 keer gebeurde. In totaal verwijderde Microsoft in april malware van ruim drie miljoen machines.

(bron: security.nl)