image

Vier zero day-lekken in Internet Explorer Mobile onthuld

donderdag 23 juli 2015, 11:55 door Redactie, 15 reacties
Laatst bijgewerkt: 24-07-2015, 17:35

Computergigant HP heeft vier kwetsbaarheden in Internet Explorer Mobile onthuld waardoor een aanvaller in het ergste geval systemen volledig kan overnemen en waar nog geen updates van Microsoft voor beschikbaar zijn. De kwetsbaarheden werden verzameld als onderdeel van het HP Zero Day Initiative. Via dit initiatief beloont HP onderzoekers voor het melden van onbekende kwetsbaarheden.

Eén van de kwetsbaarheden werd tijdens de Pwn2Own Mobile-wedstrijd gedemonstreerd en vorig jaar november door HP aan Microsoft gemeld. HP hanteert standaard het beleid om een kwetsbaarheid na 90 dagen openbaar te maken. Microsoft gaf echter aan dat het meer tijd nodig had om het probleem verhelpen. De datum die Microsoft zelf als deadline aangaf werd echter niet door de softwaregigant gehaald. Daarop besloot HP de kwetsbaarheid bekend te maken. Het gaat in dit geval om een lek in alle versies van Internet Explorer Mobile.

Om de kwetsbaarheid te kunnen aanvallen zou een gebruiker een kwaadaardige of gehackte website moeten bezoeken, een besmette advertentie te zien moeten krijgen of een kwaadaardig bestand moeten openen. Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd. De overige drie kwetsbaarheden werden in januari gemeld en hebben dezelfde impact. Weer vroeg Microsoft om meer tijd om de problemen te verhelpen en wederom werd de deadline niet gehaald, waardoor ook deze drie lekken openbaar zijn gemaakt. Exacte details heeft HP echter niet gegeven.

Gebruikers die zich willen beschermen krijgen het advies om Internet Explorer zo in te stellen dat er voor het uitvoeren van Active Scripting om toestemming wordt gebruikt, of dat Active Scripting in de Internet en lokale intranet security zone wordt uitgeschakeld. Het Nationaal Cyber Security Center (NCSC) adviseert internetgebruikers om voorzichtig te zijn bij het bezoeken van onbekende of onbetrouwbare websites.

Update 24/7 17:35

De problemen spelen niet in de desktopversie van Internet Explorer zoals in eerste instantie werd gemeld, maar in de mobiele versie van IE. Dit is aangepast in de titel en tekst

Reacties (15)
23-07-2015, 12:15 door Anoniem
23-07-2015, 12:57 door Anoniem
Is het als beveiliging voldoende om IE voorlopig gewoon helemaal niet te gebruiken? Ik ben blij dat windows 10 een andere browser (erbij) krijgt.Ik zal IE niet gaan gebruiken op windows 10,Veel te onveilig die IE.
23-07-2015, 14:58 door 0101
@Anoniem 12:57 In principe wel, maar als IE je standaardbrowser is dan is er wel het risico dat je uiteindelijk toch pagina's in IE opent. Bijvoorbeeld, je opent een Word-document vanuit Firefox en dat document bevat een link naar een webadres die dan in IE geopend wordt...

Verder gebruikt Microsofts nieuwe browser Edge voor een deel ook code van IE, dus kan het nog steeds kwetsbaar zijn. Firefox en Chrome gebruiken andere code.
23-07-2015, 14:58 door 0101
[Verwijderd]
23-07-2015, 15:09 door [Account Verwijderd] - Bijgewerkt: 23-07-2015, 15:13

Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd.

Begrijp ik het goed dat de impact van de aanval dus groter zou kunnen zijn wanneer je als administrator bent in gelogd, en de kwetsbaarheid wordt aangevallen?
23-07-2015, 15:29 door Ralvo
Door _kraai__:

Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd.

Begrijp ik het goed dat de impact van de aanval dus groter zou kunnen zijn wanneer je als administrator bent in gelogd, en de kwetsbaarheid wordt aangevallen?
Ja, of in ieder geval vergroot het de kans dat de aanval succesvol is.
In principe zou je bijna nooit als administrator moeten zijn ingelogd, zeker niet bij huis-tuin-en-keuken gebruik. Gewoon als gebruiker met beperkte rechten en indien nodig heb je dan de optie "uitvoeren als administrator". En de User Account Control zo afstellen dat, zelfs al ben je ingelogd als administrator, het systeem voor iedere digitale scheet jouw expliciete toestemming moet vragen. ;)

Dat is nog geen garantie dat het 100% waterdicht is, maar het verkleint de kans op narigheid behoorlijk.
23-07-2015, 16:01 door Anoniem
Door Ralvo:
Door _kraai__:

Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd.

Begrijp ik het goed dat de impact van de aanval dus groter zou kunnen zijn wanneer je als administrator bent in gelogd, en de kwetsbaarheid wordt aangevallen?
Ja, of in ieder geval vergroot het de kans dat de aanval succesvol is.
In principe zou je bijna nooit als administrator moeten zijn ingelogd, zeker niet bij huis-tuin-en-keuken gebruik. Gewoon als gebruiker met beperkte rechten en indien nodig heb je dan de optie "uitvoeren als administrator". En de User Account Control zo afstellen dat, zelfs al ben je ingelogd als administrator, het systeem voor iedere digitale scheet jouw expliciete toestemming moet vragen. ;)

Dat is nog geen garantie dat het 100% waterdicht is, maar het verkleint de kans op narigheid behoorlijk.

Best practice is dat je een gewone gebruikersaccount hebt (meer zeer beperkte rechten) waarmee je op het internet kan en daarnaast een adminaccount waar je niet mee kan surfen.
23-07-2015, 17:46 door Anoniem
Door 0101:
Firefox en Chrome gebruiken andere code.

En daar zitten namelijk geen kwetsbaarheden in...

Google patches 43 security flaws in latest Chrome update
http://www.zdnet.com/article/google-patches-43-security-flaws-in-latest-chrome-update/

Mozilla patches critical bugs in fresh Firefox update
http://www.zdnet.com/article/mozilla-patches-critical-bugs-in-fresh-firefox-update/
23-07-2015, 18:00 door Anoniem
Door Anoniem:
Best practice is dat je een gewone gebruikersaccount hebt (meer zeer beperkte rechten) waarmee je op het internet kan en daarnaast een adminaccount waar je niet mee kan surfen.

Nog beter is dat je gebruikersaccount geen executables kan uitvoeren vanaf lokaties waar dit account kan schrijven,
dus enkel van voor dit account read-only lokaties zoals C:\Windows en C:\Program Files*
23-07-2015, 20:15 door [Account Verwijderd]
@Ralvo en Anoniem 16:01

Bedankt, uiteraard ben ik zelde ingelogd als administrator, en UAC staat op zijn hoogst. Lezen is echter best lastig voor mij vanwege mijn dislexie en soms twijfel ik er dan ook gewoon of ik het artikel of iemand post wel goed begrepen heb.

Vraag me wel af of ik om mijn Windows phone root rechten heb of niet?

@Anoniem 18:00, bedankt, hier moet ik mij echter in verdiepen hoe ik dat voor elkaar krijg. Heb het wel eens voor elkaar gekregen dat ik niets meer kon met de map openbare documentenop mijn PC, en dat was eigenlijk niet de bedoeling :-)
23-07-2015, 21:34 door 0101 - Bijgewerkt: 23-07-2015, 21:36
Door Anoniem:
Door 0101:
Firefox en Chrome gebruiken andere code.

En daar zitten namelijk geen kwetsbaarheden in...
Dat bedoelde ik niet. Ik ben me er heel goed van bewust dat software die een paar duizend regels code of meer is, al (mogelijk te misbruiken) fouten bevat. Bij producten met zo'n omvangrijke broncode als een webbrowser is dat zeker het geval.

Mijn punt is dat doordat Chrome, Firefox en IE ieder een andere codebase hebben, ze niet (snel) dezelfde kwetsbaarheden zullen hebben. Behalve natuurlijk op die onderdelen waar er gebruik gemaakt wordt van dezelfde onderliggende code; zo maken bijvoorbeeld zowel Firefox als Chrome gebruik van libpng.
23-07-2015, 22:58 door Eric-Jan H te D
Door 0101:...Mijn punt is dat doordat Chrome, Firefox en IE ieder een andere codebase hebben, ze niet (snel) dezelfde kwetsbaarheden zullen hebben.,,,.

Biologische diversiteit waardoor het geheel een grotere overlevingskans heeft. Het zou kunnen. Het klinkt in ieder geval charmant.

Maar ik denk niet dat dat makkelijk te bewijzen valt. In de natuur sterven de te zwakke exemplaren,uit waardoor de toch al sterke exemplaren meer voedsel en meer tijd om te evolueren hebben. Het in leven houden van zwakke exemplaren lijkt misschien sociaal, maar is voor de gemeenschap nutteloos.

Terug naar jouw stellingname zou je net zo goed kunnen beweren dat die diversiteit aan code, ook een verbreding van het aanvalsoppervlak betekent. In mijn ogen moeten de zwakke browsers uitsterven of de goede kant uit evolueren. Samenwerken en open-source lijkt me voor de hele browsergemeenschap de meest succesvolle aanpak.
24-07-2015, 08:27 door [Account Verwijderd] - Bijgewerkt: 24-07-2015, 08:27
[Verwijderd]
24-07-2015, 17:22 door Erik van Straten
Velen hebben er gisteren overheen gekeken (ook ik), maar het gaat om kwetsbaarheden in:

        Microsoft Internet Explorer Mobile

Oorzaak: in http://www.zerodayinitiative.com/advisories/ZDI-15-359/ staat onder meer:
This vulnerability allows remote attackers to execute arbitrary code on vulnerable installations of Microsoft Internet Explorer, including on Windows Phone.
Dat suggereert alle versies van MSIE, niet alleen op Windows Phone.

Echter, bovenaan die pagina (ook -360, -361 en -362) staat:
Affected Products
    Internet Explorer Mobile

Ook NCSC heeft haar bulletin aangepast, zie https://www.ncsc.nl/dienstverlening/response-op-dreigingen-en-incidenten/beveiligingsadviezen/NCSC-2015-0615+1.01+Meerdere+kwetsbaarheden+in+Microsoft+Internet+Explorer+ontdekt.html
24-07-2015, 17:25 door Anoniem
ZDI praat alleen over Internet Explorer Mobile in hun disclosure. Desktop zou met ms15-018 gefixed moeten zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.