Firefox-gebruikers mogelijk al sinds 29 juli via lek aangevallen
Vorige week donderdag kwam Mozilla met een noodpatch voor een kritieke kwetsbaarheid in Firefox die actief werd gebruikt om gebruikers van de browser aan te vallen. Nu blijkt dat het lek mogelijk veel eerder is aangevallen, ook Mac-gebruikers het doelwit waren, er meer informatie werd gestolen en de exploit ook op pornosites is gebruikt.
Via het beveiligingslek kon een aanvaller allerlei informatie van de computer stelen om die vervolgens naar een server te uploaden. Het ging om geschiedenisbestanden van bash, MySQL en PostgresSQL, SSH-gerelateerde configuratiebestanden en autorisatiesleutels, configuratiebestanden voor de remote access software Remmina, configuratiebestanden van FileZilla, PSI+ configuratie en tekstbestanden met mogelijke inloggegevens en shellscripts. Zowel Firefox-gebruikers op Linux, Windows als Mac waren uiteindelijk het doelwit van de aanval.
Het lijkt er nu op dat de kwetsbaarheid mogelijk al sinds 29 juli is ingezet om Firefox-gebruikers aan te vallen. Het Slowaakse anti-virusbedrijf ESET analyseerde de aanval. De server die werd gebruikt voor het verzamelen van de informatie van Firefox-gebruikers kwam op 27 juli van dit jaar online. Twee dagen later, op woensdag 29 juli, plaatst een gebruiker van het CS-Cart forum een bericht dat er bij het laden van een advertentie een bestand van 0KB automatisch wordt gedownload.
Noodpatch
Op donderdag 6 augustus kwam Mozilla met de noodpatch, nadat de browserontwikkelaar een dag eerder door een gebruiker was gewaarschuwd. Deze gebruiker kreeg op een Russische nieuwssite een advertentie te zien die misbruik van het lek maakte om gevoelige gegevens te stelen. Vervolgens gingen de aanvallers "all in" aldus de analisten van ESET en verscheen er een nieuwe versie van de exploit.
Deze versie verzamelde ook tekstbestanden met sleutelwoorden, zoals wachtwoorden, certificaten en creditcardgegevens. Terwijl de eerste versie van de exploit alleen voor de Linux- en Windows-versie van Firefox werkte, ontwikkelden de aanvallers nu ook een versie voor Mac OS X. Daarnaast werd de exploit ook door verschillende andere groepen cybercriminelen gebruikt, voornamelijk op pornosites. De server waar de verzamelde gegevens naar toe werden gestuurd werd op 8 augustus inactief.
Als de exploit actief wordt terwijl de encrypted volumes gemount zijn dan helpt de encryptie geen zier. Als de exploit de private keys van je encryptieprogramma (die waarschijnlijk vanwege de handigheid onversleuteld op je harde schijf staan) weet te kapen ben je ook de sigaar.
Er vanuit gaande dat je dit serieus bedoelt en niet een ander OS gebruiker bent die het leuk vindt de boel in de maling te nemen...
Doe eens een zoekopdrachtje binnen je user account op
En filter daarna daarbij op alleen weergeven van "Invisible Files" .
Hee dat is wat, dan krijg je vast een aantal van die genoemde files uit het Eset artikel als resultaat. Omdat die onzichtbare files zich binnen jouw useraccount bevinden.
Als jij dus bent ingelogd op je account en aan het browsen bent met een kwetsbare Firefox versie die ook nog zo is ingesteld dat zij kwetsbaar is kan dat script bij die verborgen bestanden onder jouw account.
Wat betreft het gebruik van de verlaten Truecrypt software.
Je Mac heeft de eigen FileVault protectie die je account of zelfs je hele Mac disk versleutelt.
Wil je apart bestanden (in mappen) versleutelen kan je dat doen met het hulpprogramma Disk Utility en al dan niet gebruik van de password manager (zelf zeer lange passwords verzinnen kan natuurlijk ook).
Deze mogelijkheden zijn weliswaar allemaal 'van' Apple zelf en daar zou je theoretisch mogelijk best op af kunnen dingen, maar is voor de dagelijkse praktijk van de meeste gebruikers meer dan voldoende en goed.
Vertrouw je dat niet dan zou je je ook kunnen afvragen of je dan het helemaal een 'vrij' OS moet gebruiken.
Geklooi met niet meer supported 3rd party encryptie software als Truecrypt op een Mac?
Mij ontgaat het veiligheids en security nut ervan omdat het niet meer supported is, mogelijk nog handig bij uit te wisselen encrypted bestanden tussen Windows en Linux systemen? Daar kan ik me nog wat bij voorstellen maar denk dat de eigen encryptie van Apple voor de meesten wel voldoet.
Maar goed, het beschermt je in ieder geval niet in deze situatie omdat de betreffende bestanden zich bevinden in een geopend (niet kmeer versleuteld) account waaronder je op dat moment werkt.
Wat natuurlijk wel zou kunnen is dat je meerdere werk accounts hebt voor meerdere taken en dat je een encrypted account hebt speciaal voor upload taken en dergelijke, en een ander standaard account waarmee je standaard dingen doet zoals standaard die favoriete Russische of andere sites bezoeken.
In dat geval zou het script niet bij de files uit het andere account kunnen, maar dat is niet wat je bedoelde daar gebruikers user accounts op de Mac versleutelen met FileVault encryptie van Apple zelf.
FileVault? Disk Utility?
Met een beetje browsen heb je zo wat informatie gevonden over het gebruiken van de standaard ingebouwde encryptie mogelijkheden op de Mac.
Wellicht al te vinden op appletips.nl
Succes
Groet van een andere Mac gebruiker
Niet meer ondersteund houdt niet per se in out-of-date. Sterkers nog, ik vertrouw de bepaalde versies van TrueCrypt meer dan Veracrypt
Dat hoeft niet, maar niet meer ondersteund betekent wel dat je bij een systeemupgrade het risico loopt dat je plots niet meer bij je data kunt omdat TrueCrypt niet aan het nieuwe OS aangepast zal worden.
Mag ik concluderen dat het bestand van 0KB duidt op een gehackte (http) server en niet op een gehackte bezoeker van zo'n server? Heb namelijk zo'n bestandje gezien op een computer met firefox 39.0 (zeer recent). Kwam tijdens bezoek marktplaats als ik goed in de browser history gekeken heb. Heb ze trouwens heel lang geleden al eens gezien, deze 0KB .php bestanden. Niet zo'n gevaarlijke gebeurtenis dacht ik toen. De downloads vliegen om je oren als je een beetje overal op klikt!
Als je googled op .php en 0KB kom je ook niet zulke schokkende pagina's tegen. Lijkt een beetje aan de taal te liggen als er iets verkeerd gaat bij het programmeren. Ik maak mij er voorlopig nog niet zo druk om.
N.B. het bestand van 0KB kwam niet van marktplaats zelf maar een Franse site ofzo. Deze Franse site was veilig volgens norton safe web en mcafee siteadvisor!!
topic daar helemaal niet over gaat.
Dat helpt niet als er inmiddels al een keylogger op mijn systeem staat, maar dan helpt wel erg weinig meer...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.