image

Google gehackt via Internet Explorer-lek

vrijdag 15 januari 2010, 09:15 door Redactie, 26 reacties

Aanvallers die Google en 33 andere bedrijven hackten, gebruikten een nieuw lek in Internet Explorer voor hun aanval. Deze week liet Google weten dat aanvallers toegang tot het bedrijfsnetwerk hadden gekregen. Naast de strenger wordende censuur reden voor de zoekgigant om te dreigen met een vertrek uit China. Volgens McAfee, dat de aanval Aurora noemt, zijn er in tegenstelling tot eerdere berichten geen aanwijzingen dat er een zero-day beveiligingslek in Adobe Reader is gebruikt. Eerder werd aangenomen dat de aanvallers via een lek in de populaire PDF-lezer waren binnengekomen. Toch houdt het beveiligingsbedrijf de mogelijkheid open dat het om een "cocktail" van zero-day lekken gaat. De naam Aurora is afkomstig van het bestandspad op de machine van de aanvallers dat ook aan twee van de gebruikte malware exemplaren werd toegevoegd.

Kroonjuwelen
McAfee is onder de indruk van de zeer gecoördineerde aanval. "Operatie Aurora heeft het cyberdreigingslandschap weer veranderd. Deze aanvallen demonstreren dat bedrijven in alle sectoren een lucratief doelwit zijn." Niet alleen zijn veel bedrijven volgens McAfee's George Kurtz kwetsbaar, het geeft aanvallers ook toegang tot hun intellectueel eigendom. "De malware liet de aanvallers stilletjes de kroonjuwelen van veel bedrijven stelen terwijl mensen van hun december vakantie aan het genieten waren."

De chief technology officer vermoedt dat de aanvallers bewust voor december kozen om zo detectie te beperken. "Het dreigingsmodel van iedereen moet aan de realiteit van deze nieuwe aanvallen worden aangepast." Het gaat niet alleen meer om creditcardgegevens, maar ook intellectueel eigendom en andere waardevolle informatie. Kurtz verwacht nog meer schokkend nieuws te onthullen. "Dit is pas het topje van de ijsberg."

Internet Explorer zero-day beveiligingslek
De kwetsbaarheid waardoor de aanvallers Google wisten binnen te dringen bevindt zich in alle versies van de browser en op alle platformen. Voor zover bekend is de aanval via Internet Explorer 6 en een kwaadaardige website uitgevoerd. Internet Explorer 8 in combinatie met Data Execution Prevention (DEP) voorkomt de aanval. Toch houdt Microsoft de mogelijkheid open om een noodpatch uit te brengen. Volgens de softwaregigant is de aanval alleen bij zeer gerichte aanvallen ingezet, maar moeten ook andere bedrijven hier rekening mee houden.

"Complexe aanvallen die op specifieke bedrijfsnetwerken zijn gericht komen vaker voor in het dreigingslandschap", zegt Mike Reavey van het Microsoft Security Response Center (MSRC). Hij merkt op dat de Protected Mode in IE 7 op Windows Vista en later de mogelijkheden van een aanvaller beperkt. Gebruikers zouden daarnaast ook Data Execution Prevention (DEP) moeten inschakelen.

Trojaans paard
De aanval zelf werd gelanceerd via JavaScript code die het zero-day lek in Internet Explorer misbruikte, aldus Craig Schmugar van McAfee. Zodra het systeem was geïnfecteerd, installeerde de exploit een bestand van een website die inmiddels offline is gehaald. Dit bestand installeerde weer een remote access Trojan (RAT), die zich tijdens het starten van Windows laadde. De malware nam ook contact op met een remote server, waardoor de aanvaller toegang tot het besmette systeem had. Schmugar bevestigt dat de exploit niet werkt als DEP is ingeschakeld.

Update 9:35
Naast mogelijk Yahoo, Symantec, Northrop Grumman en Dow Chemical, zou ook netwerkgigant Juniper gehackt zijn. Het bedrijf wil een aanval niet ontkennen of bevestigen.

Update 9:53
Om detectie van de malware op het bedrijfsnetwerk te voorkomen gebruikten de aanvallers encryptie, dat zegt McAfee tegenover Wired. "We hebben nog nooit encryptie op dit niveau gezien. Het was zeer geraffineerd", aldus Dmitri Alperovitch, vice president threat research. Hoe de Google-werknemer op de kwaadaardige pagina terechtkwam wordt nog uitgezet. Dit zou via e-mail,
Instant Messaging of Facebook gebeurd kunnen zijn.

Uiteindelijk werden er een dozijn malware exemplaren op het systeem geplaatst. Eén van deze kwaadaardige programma's opende een backdoor en een versleuteld "covert channel", dat zich als een SSL-verbinding voordeed om detectie te voorkomen. De besmette computer werd vervolgens als springplank voor aanvallen op de rest van Google's bedrijfsnetwerk gebruikt. Net als Kurtz bevestigt Alperovitch dat McAfee over informatie beschikt die het nog niet mag prijsgeven.

Zodra nieuwe ontwikkelingen bekend worden, zullen we dit bericht updaten.

Reacties (26)
15-01-2010, 09:32 door Anoniem
pretty heavy shit!
15-01-2010, 09:35 door Anoniem
[admin] Bedankt voor de tip [/admin]

piet
15-01-2010, 09:58 door Anoniem
Secunia heeft het bevestigd, want de PSI geeft nu bij IE8 een lek met de hoogste dreiging aan. Link naar advisory: http://secunia.com/advisories/38209/
15-01-2010, 10:43 door RichieB
En wat leert men hiervan? Altijd Firefox met NoScript gebruiken bij het surfen. De open deur van het gebruikte onveilige OS zal ik niet intrappen.
15-01-2010, 10:46 door Anoniem
Google die Internet Explorer gebruikt? :')

Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
15-01-2010, 11:03 door Anoniem
Internet Explorer 6.... tja... men zou dat denken dat men tegenwoordig toch beter zou moeten weten, vooral bij google. maarja... aan de andere kant kan ik me wel voorstellen dat een internetbedrijf als google op sommige machines een oudere browser draait vanwege compatibiliteitstestredenen, maar dan nog
15-01-2010, 11:06 door Anoniem
Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
En jij denkt dat de andere browsers wel veilig zijn? Als de betreffende bedrijven Firefox hadden gebruikt, dan hadden ze in dat pakket naar issues gezocht. Vergeet immers niet dat een (state-sponsored) cyberleger best een stapel niet-ontdekte hacks kan hebben liggen, gesorteerd naar browser. Als het target groot en belangrijk genoeg is gebruiken ze die, aangezien de exploits na de aanval vaak gepatched worden.
Denken dat IE hier het probleem is doet afbreuk aan het echte verhaal.
15-01-2010, 13:01 door Anoniem
Misschien moet iemand ze eens op Chrome wijzen, schijnt ook wel aardig te zijn.
15-01-2010, 13:27 door cpt_m_
Uit het verhaal kan ik de conclusie trekken dat de functie DEP veel had kunnen voorkomen.
Volgens mij wordt bij XP, Vista en Windows 7 automatisch deze functie aangezet.
De standaard instelling is: Turn on DEP for essential Windows programs and services only.

Data Execution Prevention (DEP) is a set of hardware and software technologies that perform additional checks on memory to help protect against malicious code exploits. In Windows XP Service Pack 2, DEP is enforced by both hardware and software.

Via www.grc.com/securable.htm kun je via de applicatie SecurAble controleren of je CPU, hardware DEP ondersteunt.

How does Hardware DEP help with security?
Hardware support for DEP is the single most exciting and potentially powerful technology for detecting, blocking, and preventing all manner of exploitation of unchecked buffer buffer overruns in Windows. Hardware-enforced DEP is the malicious hacker's worst nightmare since it has the potential to catch and stop nearly all Internet-style remote communications buffer overflow attacks.

Mijn vraag:

Moet ik mijn DEP instelling veranderen naar: Turn on DEP for ALL programs and services except those I select om er zeker van te zijn dat ik niet geïnfecteerd kan worden????

En als je account lid is van normale gebruikersgroep en geen onderdeel is van de Administrator groep, kun je dan ook geïnfecteerd raken?

Ik hoor graag jullie reactie.
15-01-2010, 13:59 door Anoniem
Door RichieB: En wat leert men hiervan? Altijd Firefox met NoScript gebruiken bij het surfen. De open deur van het gebruikte onveilige OS zal ik niet intrappen.

Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.

En de open deur van het OS?, je bedoelt dat een sysadmin daar zijn patchbeleid of zijn security policy niet goed op orde heeft. Dit heeft niks met een OS of een browser te maken, maar een stupide medewerker die lekker clickhappy iets opent en daarbij een driveby tegen het lijf loopt.

Begrijp me niet verkeerd. ik ben absoluut een MS fanboy, alleen hier op security.nl worden 80% van de berichten over een hack als aanleiding gezien om al dan niet ,een of ander OS te bashen om even wat stoere " ik gebruik <vul hier je OS naar keuze in>, dus ik ben enorm leet" praat te blaten.

-Mystic^
15-01-2010, 14:01 door Spiff has left the building
Door cpt(m): Moet ik mijn DEP instelling veranderen naar: Turn on DEP for ALL programs and services except those I select om er zeker van te zijn dat ik niet geïnfecteerd kan worden????
Goeie vraag.

Zoals te zien is op
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
is DEP ingeschakeld voor Internet Explorer 8 voor XP met SP3, en voor Windows 2003, Vista, 2008, en Windows 7 (waarbij Vista, 2008, en Windows 7 tevens beschermd worden door ASLR).
In die situaties is DEP dus al ingeschakeld voor IE8 (te zien via Extra, Internetopties, Geavanceerd), óók wanneer DEP onder System Properties (Systeemeigenschappen), Advanced (Geavanceerd), Settings (Instellingen), Performance Options (Instellingen voor prestaties), tabblad DEP, alleen is ingeschakeld voor essentiële Windows programma's en services.
Zie ook:
http://blogs.technet.com/rhalbheer/archive/2010/01/15/leveraging-data-execution-prevention-dep.aspx

Met IE8 onder XP SP3, of Windows 2003, Vista, 2008, of Windows 7, lijkt het inschakelen van DEP voor álle programma's en services niet noodzakelijk.

Echter, IE7 onder Vista, en IE7 en IE6 onder XP (en IE6 onder Windows 2000) zijn niet beschermd door DEP.
Wil je Internet Explorer gebruiken, gebruik dan IE8.
15-01-2010, 14:32 door Anoniem
Door Anoniem:
Door RichieB: En wat leert men hiervan? Altijd Firefox met NoScript gebruiken bij het surfen. De open deur van het gebruikte onveilige OS zal ik niet intrappen.

Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.

En de open deur van het OS?, je bedoelt dat een sysadmin daar zijn patchbeleid of zijn security policy niet goed op orde heeft. Dit heeft niks met een OS of een browser te maken, maar een stupide medewerker die lekker clickhappy iets opent en daarbij een driveby tegen het lijf loopt.

Begrijp me niet verkeerd. ik ben absoluut een MS fanboy, alleen hier op security.nl worden 80% van de berichten over een hack als aanleiding gezien om al dan niet ,een of ander OS te bashen om even wat stoere " ik gebruik <vul hier je OS naar keuze in>, dus ik ben enorm leet" praat te blaten.

-Mystic^

Tuurlijk zou het met Firefox of andere browser ook gelukt zijn, maar het gaat erom dat je op Firefox de NoScript Addon kan zetten en die zou wel geholpen hebben: "De aanval zelf werd gelanceerd via JavaScript code"
15-01-2010, 14:37 door RichieB
Door Anoniem:
Door RichieB: En wat leert men hiervan? Altijd Firefox met NoScript gebruiken bij het surfen. De open deur van het gebruikte onveilige OS zal ik niet intrappen.

Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.

De crimineeltjes gebruikten javascript om de exploit uit te voeren. Als je NoScript gebruikt, en de site staat niet op je whitelist zal het kwaadaardige javascript niet worden uitgevoerd. Stel: iemand injecteert via XSS een [script src=http://www.example.com/evil.js] in je Hyves. Zelfs al staat Hyves op je NoScript whitelist, dan nog zal evil.js niet worden uitgevoerd omdat example.com niet op je whitelist staat.

Probeer NoScript eens, het maakt het browsen echt stukken veiliger.
15-01-2010, 14:40 door dim
Door cpt(m): Moet ik mijn DEP instelling veranderen naar: Turn on DEP for ALL programs and services except those I select om er zeker van te zijn dat ik niet geïnfecteerd kan worden????

Dit kan je prima doen, en dat levert je ook zeker een extra laagje bescherming op, maar er is legitieme software die hierdoor breekt. Voor die specifieke applicaties kun je DEP dan uitschakelen, maar als er dan een lek in zit, ben je er dus niet voor beschermd.

En als je account lid is van normale gebruikersgroep en geen onderdeel is van de Administrator groep, kun je dan ook
geïnfecteerd raken?

De malware zal dan de rechten van jouw gebruiker krijgen, en kan van daaruit gaan proberen via lokale exploits alsnog admin rechten te krijgen. Zodra je lokale toegang hebt, zijn er veel meer mogelijkheden om zulke exploits te proberen...
15-01-2010, 15:02 door Anoniem
Door RichieB:
Door Anoniem:
Door RichieB: En wat leert men hiervan? Altijd Firefox met NoScript gebruiken bij het surfen. De open deur van het gebruikte onveilige OS zal ik niet intrappen.

Dikke BullShit, als het een een exploit was geweest voor firefox ,was het zelfde gebeurd. een onbekende exploit voor een browser als IE of FF is een machtig wapen. zo zie je maar.

De crimineeltjes gebruikten javascript om de exploit uit te voeren. Als je NoScript gebruikt, en de site staat niet op je whitelist zal het kwaadaardige javascript niet worden uitgevoerd. Stel: iemand injecteert via XSS een [script src=http://www.example.com/evil.js] in je Hyves. Zelfs al staat Hyves op je NoScript whitelist, dan nog zal evil.js niet worden uitgevoerd omdat example.com niet op je whitelist staat.

Probeer NoScript eens, het maakt het browsen echt stukken veiliger.

Ik ken het. alleen de ervaring leert, bij gebruikers, als ze dingen niet zien die legitiem zijn. gaat no script er net zo hard weer af. Dingen die de snelheid verminderen of het gebruikersgemak beinvloeden worden als irritant ervaren, dus moeten weg.
Noscript is voor de random gebruiker gewoon geen optie, die willen dat niet.. net zo min als een security minded persoon wil dat je als werknemer gewoon als een blind stuk vee op een link klikt.

zolang iedereen gratis laptops en iphones krijgt en miljoenen uitgekeerd krijgt van een gulle oliesheik in nigeria zullen er mensen blijven klikken op links.. en als dat dan verhinderd wordt door een of ander no script ding.. dan gaat dat no script er gewoon af.

-Mystic^
15-01-2010, 16:09 door Anoniem
Door RichieB: En wat leert men hiervan? Altijd Firefox met NoScript gebruiken bij het surfen. De open deur van het gebruikte onveilige OS zal ik niet intrappen.
O ja joh? Zeker de laatste tijd onder een steen gewoond en de lekken in Firefox gemist?
15-01-2010, 16:14 door Anoniem
Door Anoniem: Google die Internet Explorer gebruikt? :')

Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
Ik zeg: lul niet zo en lees eens goed: IE8 voorkomt dat lek. En die lekken in Firefox ben je natuurlijk al vergeten.

En dan die tekst: "extreem" gevaarlijk lek terwijl het om een versie van IE gaat van twee generaties terug. Zo ken ik nog wel meer extreem gevaarlijk lekken, maar dan in oude versies van Firefox.

Maar gelukkig kunnen we weer kankeren op Microsoft.
15-01-2010, 16:42 door Anoniem
Misschien dat bedrijven nu eindelijk gaan nadenken om hun legacy applicaties die IE6 vereisen te updaten zodat ze werken met een fatsoenlijke browser.

"en een versleuteld "covert channel", dat zich als een SSL-verbinding voordeed om detectie te voorkomen. "

Hoezo covert? Ik wil als chinese overheid toch niet afgeluisterd worden? Allicht dat ze dan een SSL verbinding opzetten. Daarnaast worden die niet gecontroleerd. Ik zou ook niet weten hoe. Data is immers versleuteld. Iemand een idee?
15-01-2010, 16:56 door Anoniem
Door Anoniem: Google die Internet Explorer gebruikt? :')

Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.


Onwaarschijnlijk dat er iemand bij Google IE gebruikt laat staan IE6.

Het is veel erger. Deze aanval was gericht op gebruikers! Het zij via social engineering of het uitzoeken van ip adressen. Via de exploit op hun desktop (IE6 of een van de honderden andere onbekende exploits) was het mogelijk in hun gmail (en verder) te kijken. Dit was specifiek gericht op bepaalde personen. Dat is wat het zo eng maakt en waarom Google en andere bedrijven domweg zeggen dat de Chinese overheid hier achter zat.

Dat zijn de enige die in staat zijn om uit te zoeken welke pc ze moesten infecteren om daarna in hun google account te kunnen kijken.
15-01-2010, 17:10 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Google die Internet Explorer gebruikt? :')

Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
Ik zeg: lul niet zo en lees eens goed: IE8 voorkomt dat lek. En die lekken in Firefox ben je natuurlijk al vergeten.

En dan die tekst: "extreem" gevaarlijk lek terwijl het om een versie van IE gaat van twee generaties terug. Zo ken ik nog wel meer extreem gevaarlijk lekken, maar dan in oude versies van Firefox.

Maar gelukkig kunnen we weer kankeren op Microsoft.

Het lek bevindt zich ook in IE7 en IE8, alleen door UAC van Windows Vista en Windows 7 (waar wél iedereen onterecht kritiek op had) beperken de schade enigszins (hoewel dat UAC van Windows 7 dankzij al dat gezeik ook niet meer veel voorstelt).
15-01-2010, 22:24 door Anoniem
Door Donenzone:
Door Anoniem:
Door Anoniem: Google die Internet Explorer gebruikt? :')

Ik zeg: Een verbod op Internet Explorer!
We kunnen daarvan alleen maar beter worden.
Ik zeg: lul niet zo en lees eens goed: IE8 voorkomt dat lek. En die lekken in Firefox ben je natuurlijk al vergeten.

En dan die tekst: "extreem" gevaarlijk lek terwijl het om een versie van IE gaat van twee generaties terug. Zo ken ik nog wel meer extreem gevaarlijk lekken, maar dan in oude versies van Firefox.

Maar gelukkig kunnen we weer kankeren op Microsoft.

Het lek bevindt zich ook in IE7 en IE8, alleen door UAC van Windows Vista en Windows 7 (waar wél iedereen onterecht kritiek op had) beperken de schade enigszins (hoewel dat UAC van Windows 7 dankzij al dat gezeik ook niet meer veel voorstelt).


Dit is onjuist, IE7 en IE8 beperken de schade door DEP, en dit kan ook gebruikt worden onder windows XP
16-01-2010, 08:42 door [Account Verwijderd]
[Verwijderd]
16-01-2010, 11:03 door Spiff has left the building
Door Anoniem: Dit is onjuist, IE7 en IE8 beperken de schade door DEP, en dit kan ook gebruikt worden onder windows XP
Klopt volgens mij slechts gedeeltelijk.

Kijk nog eens hiernaar:
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
en naar wat ik gisteren schreef,
Spiff, vrijdag 15-1-2009, 14.01 uur.

IE7 is alleen onder Windows 2003 standaard beschermd door DEP.
IE8 daarentegen, die wordt beschermd door DEP onder Windows XP SP3, Windows 2003, Vista, 2008, en Windows 7 (waarbij Vista, 2008, en Windows 7 tevens beschermd worden door ASLR).
16-01-2010, 12:29 door Anoniem
Toch wel vreemd dat het juist dat zo veilige Google is dat het claimt zo veel beter te zijn, nou gehackt is. Zo veilig zijn ze daar dus niet.
16-01-2010, 12:33 door Anoniem
Google doet alles toch altijd veel beter dan Microsoft? Niet dus.
17-01-2010, 12:11 door Spiff has left the building
Zie beslist ook:
http://www.security.nl/artikel/32114/1/FIX_voor_IE-zero_day_lek.html

Belangrijk om te zien is dat de lijst van kwetsbare systemen op
http://support.microsoft.com/kb/979352
breder is dan wat weergegeven wordt in het eerder genoemde schema op
http://laws.qualys.com/lawsblog/2010/01/more-info-on-the-ie-0-day.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.