Nieuw lek raakt Windows 7 met IE9
Het nieuw ontdekte beveiligingslek in Internet Explorer dat actief wordt gebruikt om systemen met malware te infecteren, is ook een probleem voor gebruikers van IE9 op Windows 7. Dat blijkt uit de exploit die beveiligingsbedrijf Rapid7 aan hackertool Metasploit toevoegde. In eerste instantie werd aangenomen dat alleen gebruikers van IE7 en IE8 op Windows XP risico liepen, maar de impact is veel groter. Alle ondersteunde IE-versie op Windows XP, Vista en Windows 7 zijn kwetsbaar.
Aandeel
Volgens Net Applications hebben de drie browsers een wereldwijd marktaandeel van zo'n 45%. StatCounter stelt het aandeel op zo'n 33%. In Nederland surft zo'n 44% met Internet Explorer. Het bezoeken van een kwaadaardige of gehackte website is voldoende om besmet te raken.
De exploit die nu actief wordt gebruikt is afkomstig van dezelfde groep die eerder een zero-day kwetsbaarheid in Java 7 gebruikte om malware te verspreiden. Nu de exploit ook in Metasploit is verschenen wordt grootschalig misbruik een stuk waarschijnlijker.
Heb dit vaker gevraagd in berichten, wil ook eventueel een apart topic aanmaken.
Het lek snap ik je komt dan op een besmette site met malware.
Maar die virus scanner houdt toch die malware tegen als het geen zero day is dan he?
Er zijn verschillende manieren om virusscanners te ontwijken, zoals obfuscatie, encoderen en encrypten, een virusscanner is niks meer dan een programma dat definities controleert op alle bestanden en dan helpt heuristiek ook (bijna) niks.
Maar die virus scanner houdt toch die malware tegen als het geen zero day is dan he?
Bij een deel van de bekende kwetsbaarheden is er sprake van een herkenbaar patroon in de malware die de exploit uitnut, maar dit is niet per definitie zo.
Malwaremakers zijn voortdurend bezig om hun "producten" zodanig aan te passen dat deze door zo min mogelijk virusscanners worden gedetecteerd. Dat geldt zowel voor software met de exploit als de feitelijke malware die in bijna alle gevallen wordt "nageladen". Het alternatief voor een exploit is een trojan, waarbij een gebruiker op de een of andere manier verleid wordt om dat trojan-programma te starten.
In het algemeen geldt dat malware die kort geleden door malwaremakers is vrijgegeven, door weinig tot geen virusscanners wordt herkend. Enkele voorbeelden van vandaag:
Detectie door 3 van 42 virusscanners, 2012-09-17 13:27:49 UTC ( 3 hours, 2 minutes ago ):
https://www.virustotal.com/file/a1ce7ba22f792bff2cd5d5eb119e93288df0d3adb0e5cdae69a24761e668fd0a/analysis/
Detectie door 5 van 42 virusscanners, Analysis date: 2012-09-17 13:36:18 UTC ( 2 hours, 53 minutes ago ):
https://www.virustotal.com/file/6c1daa5041bb2531c4d248b28aa3cb850e806d6bc6a416cdc15d4e88334fdefc/analysis/
Sorry, Regenpijp was me voor... (je kan ook niks meer ff uitzoeken tegenwoordig ;)
Dit wil niet zeggan dat het onmogelijk is om een exploit te schrijven die ook werkt zonder java install, maar voorlopig ben je nog 'veilig' als je gewoon geen java op je machine hebt staan.
Voordeel is dat de door MSF geleverde exploit onder IE9 alleen werkt als je java geinstaleerd hebt. Ze gebruiken namelijk een java dll om de ROP gadgets vandaan te halen.
Dit wil niet zeggan dat het onmogelijk is om een exploit te schrijven die ook werkt zonder java install, maar voorlopig ben je nog 'veilig' als je gewoon geen java op je machine hebt staan.
Interessante eerste reactie op Security.nl :-)
Baseer je wat je aangeeft op de screenprints op de Metasploit pagina, met de "Using JRE ROP" regel?
Of op nog wat anders?
Als klopt wat je aangeeft, dan is dat interessant, en (voorlopig) mooi meegenomen voor non-JRE IE9 gebruikers.
Ik kan dat echter niet beoordelen.
Kan iemand anders wtfuzz' stelling misschien bevestigen?
Bedankt.
1) Java module die geen ASLR heeft
2) Office 2010 Module die geen aslr heeft : http://www.greyhathacker.net/?p=585
Ik vind method 1 altijd een beetje suf want als iemand Java op zn system heeft staan dan zijn er veel makkelijkere manieren om RCE te krijgen die niet gebruik maken van memory corruption EN als bonus ook nog eens geen last hebben van Protected Mode.
Methode 2 heb ik nog niet veel gebruikt gezien, maar is zeker in een bedrijfs omgeving waarschijnlijk goed bruikbaar.
Verder is er nog optie 3) info leak, maar ben er 99% zeker van dat dat niet in de MSF module zit.
En heb even 10 minuten naar de crash gekeken en denk niet dat iemand heel vlot hier een info leak van kan maken.
[...] [...]
maar niettemin is wat wtfuzz aangeeft toch zeker interessant.
wat betreft veilig browsen: ik zou zeggen gebruik google chrome, en zorg ervoor dat je geen java instaleerd, zet ook alle plugins op 'Click to Play' (of 'Block') ( chrome -> settings -> settings -> show advanced settings -> Privacy -> content settings -> plugins)
Mocht je echt paranoide zijn: EMET3.5 is een goede tool die ik denk 80 - 90% van alle publieke exploits tegenwerkt.
En als laatste optie: ga offline en lees een boek ;)
ps: dit is geen al omvattende veilig browsen tip lijst, alleen kleine suggesties
Laat ik nou net click to play in Chrome, NoScript in Firefox + EMET hebben en geen Java hebben ;)
Even buiten dat, ik heb de exploit van msf geüpload naar VirusTotal, overigens zonder verdere extra vormen van extra obfuscatie ofzo, hieronder de resultaten:
Standaard heap-overflow script (Overigens werd deze als nog door de heuristiek van Avira bij mij herkend als heap exploit):
https://www.virustotal.com/file/2a2158e4e94888c2277813e73a1217dcd92caf0cc049eb03d766c0235a614dc7/analysis/1347912956/
Specifieke execcommand html:
https://www.virustotal.com/file/7abde3997f1dd168b5946a3f48288e23d9ca2e742a66f3d984a909fb35108b1c/analysis/1347912972/
Off-topic: wtfuzz kwam me al ergens bekend van voor en ja hoor vermoede klopte, die heeft iets meer dan een paar jaartjes ervaring ;)
Werkt de exploit ook zonder admin rechten?
Blijft de java-dll achter na het verwijderen van java?
Beveiligingsbedrijf??? Toevoegen aan een hackerstool??? Zouden ze die beiden niet beter van het net gooien?
Ah! waarschijnlijk gaat het weer om educatieve doeleinden/onderzoek ... (LOL)
Geen Java op de pc's hier.
Ik heb het wel gehad met al die hackers tegenwoordig Get A Life zou ik zeggen.
Dit zou ik wel nuttige informatie vinden bij elke exploit, lek, etc.
Bron: comment #7 onder https://isc.sans.edu/diary/IE+Zero+Day+is+For+Real+/14107
An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Bron:
http://technet.microsoft.com/en-us/security/advisory/2757760
Het is wel fijn om te weten inderdaad wanneer er een exploit is of er een verschil is of het werkt op een systeem met een gebruiker met Admin rechten of zonder. Kan me voorstellen zonder Admin rechten bepaalde executables niet te starten zijn en dus de exploit niet gaat werken.
Of hij werkt een exploit in combinatie met Applocker, wanneer bijvoorbeeld alleen de bekende folder rechten hebben om executables te starten, zoals Program Files en Windows folder, dat bij User folders het niet toegestaan is, in hoeverre werkt dan nog een Exploit.
Zie in het artikel hier ook staan dat EMET bijvoorbeeld de Exploit wel tegen houd...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.