image

Nieuwe exploitkit richt zich bijna volledig op Flash Player

zaterdag 20 juni 2015, 17:05 door Redactie, 19 reacties

Dat Adobe Flash Player het favoriete doelwit van cybercriminelen is geworden in plaats van Java was de afgelopen maanden al verschillende keren aangetoond, maar een nieuwe exploitkit maakt deze trend nogmaals duidelijk. De Beta Exploitkit, ook bekend als Sundown, is een recent gelanceerde exploitkit die zich nog in de testfase bevindt.

Via exploitkits kunnen cybercriminelen internetgebruikers die beveiligingsupdates missen eenvoudig infecteren door bijvoorbeeld code op een gehackte website te plaatsen of in een advertentie te verstoppen. Deze code stuurt bezoekers vervolgens door naar de exploitkit. In het geval van Sundown probeert de exploitkit internetgebruikers via zes verschillende kwetsbaarheden met malware te infecteren.

Het gaat volgens onderzoeker Kafeine van het blog Malware Don't Need Coffee om vier lekken in Adobe Flash Player en twee in Windows. Onderzoekers Aditya Sood en Rohit Bansal analyseerden een verschillende versie waarin een Windows-lek voor een IE-kwetsbaarheid had plaatsgemaakt. Java, wat in het verleden een geliefd doelwit was, ontbreekt echter. Een trend die ook in veel andere recente exploitkits zichtbaar is.

De Windows-lekken die Sundown aanvalt dateren uit 2013 en 2014, terwijl de Flash Player-lekken van vorig jaar en dit jaar zijn. Het IE-lek dat Sood en Bansal aantroffen werd al in 2012 ontdekt en gepatcht. Voor alle kwetsbaarheden zijn updates aanwezig. Toch zijn er nog altijd internetgebruikers die deze patches niet installeren en zo risico lopen.

De Beta Exploitkit is zelf echter ook niet zonder fouten. Sood en Bansal ontdekten fouten in het beheerderspaneel van de exploitkit, waardoor ze konden inloggen en allerlei informatie wisten te achterhalen, zoals gebruikte serverdomeinen, gebruikersdomeinen, locatie van de slachtoffers en met wat voor soort browser die surfen. De exploitkit bevindt zich nog in de testfase, maar de onderzoekers verwachten dat die de komende maanden door cybercriminelen zal worden ingezet.

Reacties (19)
20-06-2015, 19:12 door Anoniem
De mensen achter deze exploit kits moeten worden aangepakt,ook de kopers/gebruikers van deze software moeten worden aangepakt.Makers,verspreiders en kopers en gebruikers moeten worden aangepakt door justitie,niet alleen hier in NL maar wereldwijd.
20-06-2015, 22:45 door Anoniem
Er moet een alternatieve komen voor flash of alles moet vervangen worden naar html 5
21-06-2015, 01:21 door Anoniem
Door Anoniem: Er moet een alternatieve komen voor flash of alles moet vervangen worden naar html 5

Ach, opnieuw blijkt dat het probleem is dat mensen niet updaten.
21-06-2015, 09:54 door Anoniem
Door Anoniem: Er moet een alternatieve komen voor flash of alles moet vervangen worden naar html 5

En wie garandeert dat de HTML5 engine van de browser niet even lek is als de Flash engine? Vroeger werden de meeste exploits in Java gevonden omdat de cybercrime-wereld zich daarop richtte, totdat Java zo'n slechte naam kreeg dat veel mensen het deïnstalleerden/deactiveerden en de cybercriminelen zich op Flash gingen richten. Als het met Flash dezelfde kant op gaat dan zullen de cybercriminelen hun pijlen op de HTML5 engines gaan richten en dan pas kunnen we beoordelen of HTML5 veiliger is dan Flash.
21-06-2015, 10:04 door Anoniem
Door Anoniem: Er moet een alternatieve komen voor flash of alles moet vervangen worden naar html 5

Kunnen er in html5 geen exploitbugs zitten?
21-06-2015, 13:42 door [Account Verwijderd] - Bijgewerkt: 21-06-2015, 13:42
[Verwijderd]
21-06-2015, 13:43 door [Account Verwijderd]
[Verwijderd]
21-06-2015, 15:10 door Anoniem
Door Krakatau:
Door Anoniem:
Door Anoniem: Er moet een alternatieve komen voor flash of alles moet vervangen worden naar html 5

Kunnen er in html5 geen exploitbugs zitten?

Jawel maar de kans daarop is veel kleiner omdat het niet als browserplug-in draait.

Sorry, maar de logica daarvan ontgaat me even? Mij lijkt vooral de complexiteit van de software belangrijk, hoe complexer een engine/VM in elkaar zit en hoe meer mogelijkheden ze biedt, hoe groter de kans op (exploiteerbare) fouten. HTML5 is minstens zo complex als Flash, dus de kans op (nog onontdekte) fouten is niet te onderschatten.
21-06-2015, 17:16 door Anoniem
Door Anoniem:
Door Krakatau:
Door Anoniem:
Door Anoniem: Er moet een alternatieve komen voor flash of alles moet vervangen worden naar html 5

Kunnen er in html5 geen exploitbugs zitten?

Jawel maar de kans daarop is veel kleiner omdat het niet als browserplug-in draait.

Sorry, maar de logica daarvan ontgaat me even? Mij lijkt vooral de complexiteit van de software belangrijk, hoe complexer een engine/VM in elkaar zit en hoe meer mogelijkheden ze biedt, hoe groter de kans op (exploiteerbare) fouten. HTML5 is minstens zo complex als Flash, dus de kans op (nog onontdekte) fouten is niet te onderschatten.

Mij ontgaat dat ook even, of het nou lekke native code van de browser is of extra code d.m.v.. een plugin maakt toch niks uit?

Moraal van het verhaal, blijven patchen, desnoods een mechanisme om ongepatchte browsers/plugins eenvoudig weg niet meer toe te staan. Afdwingen is het enig wat werkt bij mensen.
22-06-2015, 00:55 door Anoniem
Door Krakatau:
Door Anoniem:Vroeger werden de meeste exploits in Java gevonden omdat de cybercrime-wereld zich daarop richtte, totdat Java zo'n slechte naam kreeg dat veel mensen het deïnstalleerden/deactiveerden en de cybercriminelen zich op Flash gingen richten.

Nee, dat is niet juist: Oracle heeft de veiligheid van Java in de webbrowser sterk verbeterd, waardoor het niet langer interessant is voor cybercriminelen.

Uit de lucht gegrepen aanname.

http://java-0day.com/
The latest changes in default java security settings made it a far less appealing platform as before.

Voor misbruik van Java zijn zeroday's niet nodig.
22-06-2015, 09:58 door Anoniem
Door Anoniem: De mensen achter deze exploit kits moeten worden aangepakt,ook de kopers/gebruikers van deze software moeten worden aangepakt.Makers,verspreiders en kopers en gebruikers moeten worden aangepakt door justitie,niet alleen hier in NL maar wereldwijd.

Ik vind dat de makers niet aangepakt moeten worden.. het is een exploit kit en in principe zolang je dit voor je test doeleinden gebruikt is dit gewoon legaal.
Door zulk soort kits kunnen we mensen/leerlingen wel het e.e.a. bijleren
22-06-2015, 10:32 door Anoniem
een intressante stelling:

veel mensen zijn ronduit tegen de wapenlobby en wetgeving in de VS met als reden dat het (te) makkelijk verkrijgen van vuurwapens lijdt tot moord en doodslag

veel mensen zijn voor exploit kids "om aan te tonen dat websites door te testen veiliger worden" ..

/confused.

denk er eens over na voordat je nou gelijk in je toetsenbord kruipt..
23-06-2015, 10:38 door Anoniem
Door Krakatau:
Door Anoniem:Vroeger werden de meeste exploits in Java gevonden omdat de cybercrime-wereld zich daarop richtte, totdat Java zo'n slechte naam kreeg dat veel mensen het deïnstalleerden/deactiveerden en de cybercriminelen zich op Flash gingen richten.

Nee, dat is niet juist: Oracle heeft de veiligheid van Java in de webbrowser sterk verbeterd, waardoor het niet langer interessant is voor cybercriminelen.

Ze hebben het in feite gewoon buiten werking gesteld. En wat er aan veiligheid was is niet echt beter geworden want
een sandboxed applet zonder extra rechten bestaat nu in feite niet meer, je bent verplicht je applet te signen en dan
kan het in principe veel meer rechten krijgen.

Dat Java niet meer interessant is voor cybercriminelen komt meer omdat de grote meute het van de computer af heeft
gemikt.
23-06-2015, 11:29 door [Account Verwijderd] - Bijgewerkt: 23-06-2015, 11:38
[Verwijderd]
24-06-2015, 17:18 door [Account Verwijderd]
[Verwijderd]
24-06-2015, 17:21 door [Account Verwijderd] - Bijgewerkt: 24-06-2015, 17:22
[Verwijderd]
25-06-2015, 10:47 door [Account Verwijderd]
[Verwijderd]
28-06-2015, 11:14 door Anoniem
Door Anoniem:
http://java-0day.com/
The latest changes in default java security settings made it a far less appealing platform as before.

Voor misbruik van Java zijn zeroday's niet nodig.

Als je normaal update heb je alleen last van zerodays (want andere problemen zijn gefixt in updates).
28-06-2015, 11:16 door Anoniem
Door Anoniem: Dat Java niet meer interessant is voor cybercriminelen komt meer omdat de grote meute het van de computer af heeft gemikt.

Niet juist: ca. 89% van particulieren en maar liefst 97% van bedrijven heeft Java op hun computer staan!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.