Lost in the Noise

Door een aanwijzing in een blogposting van anti-virusbedrijf McAfee, heeft een Israëlische onderzoeker een exploit voor het nieuwe zero-day lek in Internet Explorer gepubliceerd. Via de exploit is het mogelijk om gebruikers van IE6 en 7 via drive-by downloads te infecteren. De aanvalscode is inmiddels ook aan hackertool Metasploit toegevoegd. De aanval werkt tegen IE6 en 7 op Windows XP en IE7 op Vista.

In de blogposting zegt McAfee dat de aanval via het domein topix21century.com plaatsvindt. Genoeg informatie voor Moshe Ben Abu om de exploit op te halen, te deobfusceren en vervolgens te zien waar het lek in Microsoft’s browser aanwezig is. “Het kostte slechts een paar minuten om de exploit in die host te vinden”, aldus Ben Abu. Uiteindelijk had hij voor het reverse engineeren en vinden van de kwetsbaarheid zo’n tien minuten nodig. De kwetsbare code is aanwezig in het bestand iepeers.dll.

Exploit
Volgens H.D. Moore, de ontwikkelaar van hackertool Metasploit, werkt de code niet feilloos. “Het is ongeveer 50% betrouwbaar op Windows XP SP2/SP3 met IE7, zonder DEP. Met IE6 is het iets beter.” Microsoft en GOVCERT adviseren gebruikers van IE6 en 7 om naar Internet Explorer 8 te upgraden, aangezien deze versie niet kwetsbaar is.

Al voor de publicatie van de exploit waren anti-virusbedrijven bang voor misbruik op grote schaal. “Exploitcodes worden steeds vaker door cybercriminelen aangepast en gebruikt. Wij verwachten dat ook dit nieuwe lek binnenkort massaal zal worden misbruikt. Wat de situatie nog gevaarlijker maakt, is dat het hiervoor vatbare Internet Explorer 7 nog erg veel gebruikt wordt. We gaan dan ook uit van een groot aantal potentiële infecties”, zegt Ralf Benzmüller van G Data.

Update:
Symantec heeft een analyse van de exploit online gezet, terwijl het Spaanse anti-virusbedrijf Panda Security de volgende video ervan maakte:

Internet Explorer 0-day Attack from Panda Security on Vimeo.

(bron: security.nl)

Internet Explorer 8 biedt de beste bescherming tegen social engineering malware, terwijl andere browsers hopeloos falen. NSS Labs controleerde voor de derde keer hoe goed de vijf populairste browsers van het moment omgaan met kwaadaardige websites die malware aanbieden. Het gaat hier niet om drive-by download exploits, maar om screensavers, codecs en andere applicaties die veilig lijken, maar in werkelijkheid malware bevatten.

Firefox, Google Chrome, Safari, Internet Explorer en Opera beschikken allemaal over een filter om gebruikers tegen dit soort websites te beschermen. NSS Labs selecteerde 562 URLs en keek hoe snel de browsers de websites detecteerden. Daaruit blijkt dat Firefox 3.5 het snelst is met detecteren, maar Internet Explorer 8 veel meer sites herkent. Microsoft’s browser wist 85% van de kwaadaardige websites te herkennen, terwijl Safari 4 en Firefox 3.5 met 29% op een tweede plek eindigen. Google Chrome komt niet verder dan 17%, terwijl Opera onder de één procent blijft steken.

Met name het verschil tussen Safari, Firefox en Chrome is opmerkelijk, aangezien de drie browsers allemaal de Safe Browsing API van Google gebruiken, maar toch verschillend scoren. De leveranciers gaven geen verklaring, maar NSS Labs denkt dat dit komt door verschillende parameters, het anders beoordelen van te blokkeren websites en het moment dat de blacklist wordt opgevraagd.

SmartScreen
De onderzoekers zijn met name te spreken over het SmartScreen Filter in IE8. Microsoft’s browser haalde een unieke URL blocking score van 89% en een algehele bescherming van 85%. “Internet Explorer 8 is veruit de beste in het beschermen tegen social engineering malware.” De 30% toename van gedetecteerde kwaadaardige websites toont daarnaast een “superieur feedback mechanisme”. De overige vier browsers wisten na vijf dagen nauwelijks meer URLs te blokkeren.

Firefox en Safari zijn dan tweede met 29%, ze bieden 56% minder bescherming dan IE8. Google Chrome wist zich ten opzichte van de vorige test te verbeteren, toch ontbreekt er nog unieke URL bescherming binnen de eerste 24 uur, waardoor de uiteindelijk score lager uitvalt dan bij Firefox en Safari die ook de Safe Browsing API gebruiken. Opera faalde hopeloos en biedt volgens de onderzoekers helemaal geen bescherming tegen dit soort dreigingen.

Onafhankelijk
Bij Microsoft is men vanzelfsprekend blij met de resultaten. “Sinds we IE8 in maart 2009 lanceerden, heeft SmartScreen 560 miljoen pogingen om malware te downloaden geblokkeerd, wat neerkomt op 3 miljoen blocks per dag!”, zegt Eric Lawrence, Program Manager van Internet Explorer. Microsoft’s systemen en analisten evalueren elke dag 1 terabyte aan binaries om te bepalen of websites malware verspreiden.

Lawrence ziet SmartScreen als een reden om naar de browser over te stappen. “IE6 en 7 bieden geen bescherming tegen social engineering malware. Als je gezin en vrienden niet up-to-date zijn, adviseer ze dan om voor een veiligere internet ervaring naar IE8 over te stappen.” Het onderzoek van NSS Labs zou geheel onafhankelijk zijn, wat Microsoft’s Brandon LeBlanc benadrukt. “De onafhankelijk testresultaten tonen dat Internet Explorer 8 drie keer zoveel malware dreigingen dan Firefox 3 en tien keer zoveel malware dreigingen dan Google Chrome 2 blokkeert.”

(bron: security.nl)

Microsoft waarschuwt gebruikers van Internet Explorer voor een nieuw beveiligingslek in de browser, waardoor aanvallers kwetsbare systemen kunnen overnemen. De aanval combineert het gebruik van Visual Basic script en Windows Help-bestanden in Internet Explorer. Gebruikers van Windows XP die als antwoord op een pop-up op F1 drukken, laten een aanvaller willekeurige code op het systeem uitvoeren. Gebruikers van Windows 7, Server 2008 en Vista lopen geen risico.

Onveilig
Volgens de softwaregigant zijn Windows Help-bestanden “onveilig”, omdat ze automatische acties kunnen uitvoeren. “Hoewel ze erg waardevolle productiviteitstools kunnen zijn, kunnen aanvallers ze ook gebruiken om een systeem over te nemen”, zegt Jerry Bryant van het Microsoft Security Response Center (MSRC). De exploit voor het zero-day beveiligingslek verscheen vrijdag op het internet.

Aan de hand van het onderzoek dat Microsoft uitvoert zal het besluiten welke actie het onderneemt, zo laat Bryant weten. Daarbij vraagt hij onderzoekers wederom om kwetsbaarheden direct aan Microsoft te rapporteren. “Het op verantwoorde wijze melden van lekken beschermt het computer ecosysteem en individuele computergebruikers tegen aanvallen.”

F1 toets
Naast het niet gebruiken van F1, kunnen gebruikers ook Active Scripting uitschakelen, zo adviseert het Deense Secunia. De kwetsbaarheid is bevestigd op een volledig gepatcht Windows XP SP3 systeem met Internet Explorer 7. Volgens Maurycy Prodeus die het probleem ontdekte, zijn ook IE6 en IE8 kwetsbaar. Dit jaar hebben onderzoekers al verschillende lekken in Microsoft’s browser ontdekt.

(bron: security.nl)

Met een beloning van 100.000 dollar in het vooruitzicht gaan hackers de veiligheid van Internet Explorer, Firefox, Google Chrome en Safari testen. De Pwn2Ownwedstrijd is onderdeel van de CanSecWest beveiligingsconferentie en vindt voor de vierde keer plaats. Drie dagen lang zullen onderzoekers proberen of ze via de browser het onderliggende besturingssysteem kunnen overnemen.

De eerste dag is het de beurt aan IE, Firefox en Google Chrome op Windows 7, gevolgd door Windows Vista op dag twee en als laatste Windows XP. Safari zal alleen op Mac OS X Snow Leopard worden getest. Naast een geldbedrag krijgen de winnaars ook de laptop waar de test op plaatsvindt. Vorig jaar verbaasde de Duitse hacker “Nils” iedereen met zijn aanvallen op IE, Firefox en Safari. Alleen de Windows versie van Mozilla’s browser wist toen de slachting te overleven.

Smartphones
De hoofdprijs wordt echter niet voor de browser neergelegd. 40.000 van de 100.000 dollar is voor de browserwedstrijd gereserveerd. Het overige prijzengeld is met het hacken van smartphones te verdienen. De Apple iPhone 3GS, RIM Blackberry Bold 9700, een Nokia telefoon met Symbian S60 en een Motorola telefoon met Android moeten de verwachte aanvallen verduren. Elke gehackte telefoon is 15.000 dollar waard.

“De gegevens die via dit soort apparaten worden opgeslagen en gecommuniceerd zijn steeds waardevoller voor aanvallers”, aldus Aaron Portnoy van TippingPoint, dat de wedstrijd sponsort. Vorig jaar liep de smartphone hackerwedstrijd op een deceptie uit, maar dit jaar verwacht de organisatie het nodige vuurwerk. DeCanSecWest conferentie begint op 24 maart.

Het nieuwe cross-site scripting-filter in Internet Explorer 8 biedt geen bescherming tegen recent ontdekte beveiligingslekken in de websites van PayPal en eBay, gebruikers van de Firefox extensie NoScript hoeven zich geen zorgen te maken. Via de cross-site scripting (XSS) kwetsbaarheden kunnen aanvallers authenticatie gegevens en andere gevoelige informatie stelen en zelfs financiële transacties in naam van het slachtoffer uitvoeren, zegt Giorgio Maone, de maker van NoScript. Volgens hem heeft Microsoft allerlei features van NoScript aan de eigen browser toegevoegd. “Toen Microsoft het IE8 XSS-filter een jaar geleden onthulde, konden we zien hoe ondanks de gelijkenis met NoScript’s anti-XSS bescherming, het toch behoorlijk beperkt was.”

Het filter van Internet Explorer biedt alleen bescherming tegen “type 1″ XSS-aanvallen, maar kan niet overweg met de “type 0″ variant, gaat Maone verder. De kwetsbaarheden in de twee extreem populaire websites werden door hackersgroep “Team Elite” ontdekt. De bugs zijn al een aantal dagen geleden gemeld, maar nog steeds zijn er eenvoudig nieuwe bugs te vinden. Via de lekken is het mogelijk om onder andere iframes te injecteren.

Exclusief
Volgens Maone is het lek in de website opmerkelijk, aangezien die alleen IE treft. “Alle moderne browsers, behalve Internet Explorer, encoderen request URLs op de juiste manier voordat ze die versturen. Misbruik van dit specifieke PayPal lek vereist dat het “dubbele quotes” karakter zonder encodering wordt doorgegeven. Terwijl de meeste XSS exploits op alle browsers werken, treft deze alleen IE.”