BitTorrent-gebruikers doelwit Adobe-hackers
Hackers hebben de populaire Torrentsite Isohunt.com gebruikt voor het infecteren van bezoekers via het nog altijd ongepatchte beveiligingslek in Adobe Reader en Acrobat. De website waarschuwt bezoekers om geen onbetrouwbare PDF-bestanden die op de computer staan te openen. "Met name die zonder enige interactie beginnen met downloaden." Isohunt erkent dat de zero-day PDF-aanval inmiddels ook op de eigen website voorkomen. "We doen ons best om alle adverteerders die deze slechte advertenties tonen te weren, maar we zijn niet perfect. Dus nogmaals, open, bekijk en download geen PDF bestanden die automatisch verschijnen." In de tussentijd krijgen systeembeheerders het advies om 193.104.22.0/24 en 89.149.236.46 te blokkeren. 193.104.22.0/24 zou eerder al bij andere aanvallen zijn betrokken.
Nieuwe aanval
Dat PDF-bestanden het hackerwapen bij uitstek zijn blijkt uit een nieuwe, geavanceerde aanval waar het Internet Storm Center (ISC) voor waarschuwt. De shellcode van deze aanval was slechts 38 bytes groot. Hoewel die dezelfde heap spraying techniek als andere exploits gebruikt, is het tweede gedeelte van de shellcode als ander object aan het PDF document toegevoegd. In eerste instantie lijkt deze code corrupt te zijn, maar Adobe Reader opent toch het hele document in het geheugen, waaronder de corrupte code. Volgens Bojan Zdrnja zijn de voordelen voor een aanvaller duidelijk. Die kan wat de exploit doet eenvoudig wijzigen, zonder dat het eerste gedeelte van de shellcode moet worden aangepast.
Dat maakt automatische analyse van elke tool die een JavaScript interpreter voor de toegevoegde JavaScript gebruikt onmogelijk. Verder onderzoek wijst uit dat er twee verstopte binaries aanwezig zijn en dat het PDF document alles bevat om de machine volledig over te nemen. Er hoeft niets "extra's" te worden gedownload. "Niet alleen is dit een interessant voorbeeld van een kwaadaardig PDF document dat een geavanceerde lading bevat, maar ook hoeveel moeite de aanvallers doen om ervoor te zorgen dat hun malware niet alleen voor anti-virusbedrijven, maar ook voor de slachtoffers lastig is te detecteren", aldus de ISC-handler.
Meer meldingen
Zdrjna adviseert gebruikers in afwachting van een patch om JavaScript uit te schakelen. Er verschijnen namelijk steeds meer meldingen van PDF documenten die dit zero-day lek misbruiken. "Als we het nieuwe jaar moeten beoordelen aan de complexiteit die aanvallers nu gebruiken, dan ziet er niet goed uit."
Dan doe je iets niet goed, subnet wel goed ingevuld? Als je bij subnet bv. 0.0.0.0 laat staan/gebruikt word idd. 'alles' geblokkeerd. Gebruik het volgende 193.104.22.0 met als subnet : 255.255.255.0 en 89.149.236.46 met als subnet 255.255.255.255 (of resp. /24 of /32, afhankelijk van wat je firewall verstaat).
Dan doe je iets fout, mon Brave !!
Dan doe je iets fout, mon Brave !!
Ik gebruik Comodo FW, daar kan ik een IP reeks ingeven, wat ik daar invulde was: (begin) 193.104.22.0 en (eind) 193.104.22.24.
89.149.236.46 blokkeerde ik als een single IP. Kan eigenlijk weinig fout in gaan. Zo heb ik wel meerdere IP ranges geblokt op die manier.
De single IP geeft geen problemen. Hmm.. nog weer eens geprobeerd (echt exact hetzelfde als de laatste keer) en nu geeft het geen problemen. Erg vreemd. Nou ja, het is opgelost iig :P
Dan doe je iets fout, mon Brave !!
Ik gebruik Comodo FW, daar kan ik een IP reeks ingeven, wat ik daar invulde was: (begin) 193.104.22.0 en (eind) 193.104.22.24.
89.149.236.46 blokkeerde ik als een single IP. Kan eigenlijk weinig fout in gaan. Zo heb ik wel meerdere IP ranges geblokt op die manier.
De single IP geeft geen problemen. Hmm.. nog weer eens geprobeerd (echt exact hetzelfde als de laatste keer) en nu geeft het geen problemen. Erg vreemd. Nou ja, het is opgelost iig :P
Blij dat ik gereageerd heb want het gaf jou de trigger het nog eens te doen ;-)
Toppie !!
Ze kunnen beter adviseren om een adblocker te gebruiken, dat scheelt behalve deze aanval ook een hoop andere zooi.
Errr.. Volgens mij moet je toch eens even opzoeken hoe CIDR notatie werkt. Een 193.104.22.0/24 subnet loopt van 193.104.22.0 t/m 193.104.22.255.
http://nl.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Errr.. Volgens mij moet je toch eens even opzoeken hoe CIDR notatie werkt. Een 193.104.22.0/24 subnet loopt van 193.104.22.0 t/m 193.104.22.255.
http://nl.wikipedia.org/wiki/Classless_Inter-Domain_Routing
Hij heeft het niet over het hele subnet hoor hij heeft het over de reeks ip adressen eindigend op 0 tot 24 dat is wat anders dan /24
Blij dat ik gereageerd heb want het gaf jou de trigger het nog eens te doen ;-)
Toppie !!
idd :-) thnx Syzygy
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.