image

Ook Microsoft gehackt via Java-lek

zaterdag 23 februari 2013, 07:30 door Redactie, 8 reacties

Aanvallers zijn er ook in geslaagd om computers van Microsoft met malware te infecteren, net zoals eerder bij Apple en Facebook gebeurde. Dat maakte het bedrijf gisterenavond bekend. "Zoals gemeld door Facebook en Apple, kan Microsoft bevestigen dat we onlangs een soortgelijke inbraak hebben meegemaakt", aldus Matt Thomlinson, algemeen directeur Trustworthy Computing Security.

Microsoft zegt dat het tijdens het initiele onderzoek ervoor koos om geen verklaring af te geven. Het bedrijf ontdekte een aantal computers, waaronder een aantal in de Mac business unit, die met malware besmet waren geraakt. De infectie zou op dezelfde manier zijn opgelopen zoals eerder door andere organisaties beschreven.

Java
Facebook en Apple lieten weten dat een aantal medewerkers een forum voor iPhone-ontwikkelaars hadden bezocht waarop een exploit was verstopt. Deze exploit misbruikte een beveiligingslek in Java om de computers van bezoekers met malware te infecteren. Veel details geeft Microsoft verder niet, maar het laat weten dat er geen klantgegevens gestolen zijn.

Eerder deze week liet beveiligingsonderzoeker Eric Romang weten dat de gehackte bedrijven hun computers beter hadden moeten beveiligen. Niet alleen zouden er volgens de onderzoeker verouderde Java-versies zijn gebruikt, ook was het beveiligingsniveau voor Java-applets niet verhoogd, wat had voorkomen dat de computers besmet waren geraakt.

Reacties (8)
23-02-2013, 08:19 door WhizzMan
Ja want op Apple kan je ook altijd de allerlaatste Java op tijd downloaden he Eric Romang?
23-02-2013, 08:43 door [Account Verwijderd]
[Verwijderd]
23-02-2013, 11:48 door [Account Verwijderd]
[Verwijderd]
23-02-2013, 17:00 door Anoniem
Eerder deze week liet beveiligingsonderzoeker Eric Romang weten dat de gehackte bedrijven hun computers beter hadden moeten beveiligen. Niet alleen zouden er volgens de onderzoeker verouderde Java-versies zijn gebruikt, ook was het beveiligingsniveau voor Java-applets niet verhoogd, wat had voorkomen dat de computers besmet waren geraakt.


0-day in security focus ? :

Als aangegeven in een reactie onder eerder artikel met analyses van Eric Romang lijkt 'iedereen' een voor de hand liggend punt te missen. *
Namelijk dat de oorzaak van de besmetting lijkt te liggen in niet up to date software van Oracle voor het Mac platform zelf ; Application Development Framework (ADF).
Dit werkt voor de Mac alleen onder JVM 6 en niet onder JVM 7. *

De analyse dat er gebuikt zou zijn gemaakt van oudere Java versies is daarmee op zich juist maar betreft dan geen onzorgvuldigheid omdat er immers geen mogelijkheid is te updaten naar een hogere (veiliger) versie.
De oplossing van het verhogen van de beveiliging van de java applets snijdt daarmee geen hout meer omdat deze mogelijkheid is aangebracht in JVM versie 7, een versie waarvan in dit geval geen gebruik gemaakt kan worden doordat het simpelweg niet wordt ondersteund in combinatie met de ADF developer software. *

Het aanbieden van Mac software dat gebaseerd is op JVM 6 is verder nogal opmerkelijk omdat Oracle inmiddels heeft aangekondigd JVM 6 support voor andere platformen juist te gaan afbouwen.

De enig relevante en verwijtbare onzorgvuldigheid is dan nog dat betreffende developers de Mac's waarop een verouderd JVM (6) draaide ook gebruikten om het web te bezoeken. Wat overigens goed te voorkomen is / was door tijdelijk het JVM en de browser plugins te deactiveren of te browsen met een andere machine of onder een ander OS X met gebruik van bijvoorbeeld een dual boot (of meer) optie. (heel werkbaar weet ik uit eigen ervaring).

Werkelijk verbazingwekkend is dat dit punt door de officiële security onderzoekers en bedrijven 'nergens' (?*) wordt aangestipt.
Onder meer door F-secure die bijvoorbeeld wel de market share van Mac gebruik aanhaalt; 15 % onder reguliere gebruikers en de veronderstelling dat dit wel eens 85% zou kunnen zijn onder developers in 'S'-Valley.
Dat bij een dergelijk verondersteld significant hoog percentage Mac's onder developer-gebruikers de elementaire reden en praktische oorzaak niet wat dieper wordt onderzocht vind ik onbegrijpelijk, alsook de reden waarom Oracle de ADF software voor Mac niet onder een geüpdate JVM 7 laat draaien. *

Er is technisch diepgaand aandacht voor en onderzoek naar gevolg, gemist is een basis analyse met simpele aandacht voor en vragen omtrent de werkwijze van betreffende developers die, wanneer ze met betreffend ADF zouden hebben gewerkt, dan uit noodzaak bewust veiligheidsblokkades ongedaan hebben moeten maken om de software werkend te krijgen.

Vraag daarbij is nog of het eigenlijk wel uitmaakt; betreft het een 0-day die alleen werkt voor versies JVM 6 en ouder of geldt deze ook voor JVM 7 versies?

Gemiste focus binnen gebied van social enginering ;
gebruik van social enginering technieken om malware werkend te krijgen gaan niet alleen over het beïnvloeden van het gedrag / verleiden van gebruikers maar zeker ook over het doelgericht inspringen op veel voorkomende configuraties (combinatie gebruik van veelvoorkomende software, plugins etc.) of mis-configuraties (ongepatchte systemen).
Een geweldige open deur ; van reguliere gebruikers is wel bekend welke software en plugins veel gebruikt worden.
Maar waar werken (Mac) developers dan zoal mee?
Hoe gaan developers om met security issue's? ,.. ..

Ik zie met belangstelling uit naar een goede analyse of een interview met een developer die gevraagd wordt naar zijn Mac configuratie en de redenen waarom hij / zij bijvoorbeeld (nog) gebruikt maakt van Java (naast ws. bijvoorbeeld XCode,.. .) en welke rol security speelt in het development proces.


* (correcties aanvullingen welkom)
23-02-2013, 18:03 door Anoniem
Dat Java moeten ze dumpen klaar...
24-02-2013, 12:03 door Anoniem
Zie ook:
http://pastebin.com/Rksd8aJT

Deze MD5 hash is:
http://malwr.com/analysis/1582d68144de2808b518934f0a02bfd6/ javacpl.exe
https://www.virustotal.com/en/file/8ca7ed720babb32a6f381769ea00e16082a563704f8b672cb21cf11843f4da7a/analysis/
24-02-2013, 17:15 door Patje-RedFan
Ik heb al één maand geleden java verwijderd en tot nu nog niet nodig gehad!
26-02-2013, 12:52 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.