Lek in Silverlight gebruikt voor zero day-aanval
Een zero day-lek in Silverlight is vorig jaar gebruikt voor aanvallen op Windowsgebruikers, hoewel Microsoft zegt dat het niet met dergelijke aanvallen bekend is. De kwetsbaarheid werd door het Russische anti-virusbedrijf Kaspersky Lab ontdekt en gisterenavond door Microsoft gepatcht.
Silverlight is de browserplug-in van Microsoft voor het afspelen van online videocontent. In Security Bulletin MS16-006 stelt Microsoft echter dat het niet met aanvallen op Windowsgebruikers bekend is. Vandaag publiceerde Kaspersky Lab een artikel over hoe het de kwetsbaarheid ontdekte en hoe die bij aanvallen was ingezet. Het begon naar aanleiding van een artikel van Ars Technica over het gehackte Italiaanse bedrijf Hacking Team. Uit de e-mails die van het bedrijf online waren gezet bleek dat een onderzoeker genaamd Vitaliy Toropov een exploit voor een onbekend Silverlight-lek had aangeboden.
De naam van Toropov werd ook op de website van de Open Source Vulnerability Database (OSVDB) aangetroffen. Via deze database kunnen mensen informatie over kwetsbaarheden uitwisselen. In 2013 had Toropov een exploit voor een lek in Silverlight gepubliceerd. Het lek was inmiddels gepatcht, maar de exploit bevatte ook details over hoe Toropov zijn code schreef. Kaspersky ontwikkelde speciale detectieregels als bepaalde coderegels van Toropov bij gebruikers van Kaspersky anti-virus werden aangetroffen.
De kans bestond namelijk dat Toropov zijn nieuwe Silverlight-aanval naast Hacking Team ook aan andere partijen aanbood. Via de detectieregels kon die dan worden gevonden. Een aantal maanden na de implementatie van de detectieregels werd een Kaspersky-gebruiker aangevallen door een bestand waarop de detectieregels alarm sloegen. Een aantal uren later werd door een gebruiker in Laos een bestand met dezelfde eigenschappen naar een online virusscannerdienst geupload. Uit de analyse van het bestand bleek dat die een onbekende kwetsbaarheid in Microsoft Silverlight gebruikte.
Kaspersky Lab besloot vervolgens Microsoft te waarschuwen, dat de kwetsbaarheid gisteren patchte. Volgens Costin Raiu van Kaspersky Lab kan niet met zekerheid worden gezegd dat de nu gepatchte kwetsbaarheid ook door Toropov was ontdekt, maar de kans is volgens hem zeer groot. Aangezien de kwetsbaarheid tijdens een aanval op gebruikers werd gevonden blijft het de vraag hoe het kan dat Microsoft met deze aanvallen onbekend is. We hebben zowel Kaspersky als Microsoft dan ook om een reactie gevraagd.
Update
Kaspersky Lab laat in een reactie aan Security.NL weten dat het Microsoft over de aanvallen heeft ingelicht.
Update 2
Microsoft wijst in een reactie aan Security.NL naar het Security Bulletin en blijft bij het standpunt dat het niet bekend was met aanvallen waarbij het Silverlight-lek werd ingezet.
Microsoft Silverlight (KB2526954)
Microsoft Silverlight (KB2617986)
Microsoft Silverlight (KB2636927)
Microsoft Silverlight (KB2668562)
Microsoft Silverlight (KB2977218)
Microsoft Silverlight (KB3056819)
Microsoft Silverlight (KB3080333)
Microsoft Silverlight (KB3106614)
Om te voorkomen dat ik, per ongeluk, toch een keer een update doorlaat, heb ik de permissies van de volgende mappen aangepast (na deïnstallatie van Silverlight waren deze leeg {correctie 21:26: niet leeg maar verwijderd, ik heb ze daarna opnieuw aangemaakt}):
C:\Program Files (x86)\Microsoft Silverlight\
Van elke map heb ik de permissies "not inherited" gemaakt (dat heet een protected DACL (Discrtetionaly Access Control List) en daarbij de bestaande permissies gekopieerd. Vervolgens heb ik de volgende 3 Deny ACEs (Access Control Entries) toegevoegd:
Deny SYSTEM <Special Settings>
Deny Administrators <Special Settings>
Waarbij elke keer <Special Setings> betekent dat een vinkje gezet is (onder Deny) voor:
Create folders / append data
Write attributes
Write extended attributes
Delete subfolders and files
Delete
Change permissions
Take ownership
Vandaag, bij het installeren van updates, werd geprobeerd om KB3126036, oftewel MS16-006 "Security Update for Silverlight to Address Remote Code Execution", te installeren - dat heb ik (als test) laten doorgaan.
Zoals gehoopt mislukte dat met "Code 643" (beide mappen bleven leeg). Nadat ik ook die update "hidden" heb gemaakt, werd ook deze niet meer aangeboden. Tot de volgende update...
Weet iemand een handiger manier om de (her-)installatie van Silverlight permanent te voorkomen?
Ik heb het zelf wat eenvoudiger gedaan:
Ik laat Silverlight gewoon zijn gang gaan met de updates (eveneens Win7/64) en dus geïnstalleerd staan, maar heb de plugin (in Firefox) uitgeschakeld.
Voordeel: als ik een zeldzame keer een filmpje tegenkom wat ik beslist wil zien en wat Silverlight vereist, dan zou ik het kunnen aanzetten (of op 'vragen om te activeren zetten).
Maar sinds ik het heb uitgezet (meer dan een jaar geleden) heb ik dat nog niet een keer meegemaakt. De NOS zond de olympische spelen vroeger in dat formaat uit, toen heb ik dat wel gebruikt. Maar die schijnen helemaal om te zijn naar HTML5. Hopelijk volgen er meer.
Wat wel vervelend is, is de enorme diskconsumptie die Silverlight veroorzaakt. 400 MB voor een videospelertje, dat is niet niks. Moet allemaal weer meegenomen worden als ik images maak...
Maar het is wel raar dat je dat programma niet eens kunt deïnstalleren en dat het dan gedeïnstalleerd blijft!
Trouwens ik heb gisteren meen ik silverlight voor OSX op mijn mac ook geupdated.
Ik probeer de risico's gewoon zoveel mogelijk te beperken door dit soort legacy spul (ook Adobe Flash trouwens) compleet van mijn systeem te verwijderen. Hoewel ik op internet zo snel nergens kan vinden dat je Silverlight direct in Office documenten kunt embedden, kan er met ActiveX/OLE vaak meer dan gedacht (Flash in "winmail.dat" bleek gewoon door Outlook te worden uitgevoerd aka "BadWinMail", zie https://www.youtube.com/watch?v=ngWVbcLDPm8 en https://blog.kaspersky.com/bad-badwinmail/10868/, gepatched door https://technet.microsoft.com/en-us/library/security/ms15-131.aspx).
In https://technet.microsoft.com/library/security/MS16-001 (laatste patch voor MSIE) staat:
Ziggo klanten hebben Silverlight nodig als ze TV via hun PC willen kijken. Gelukkig kan ik in de browser instellen dat alleen de Ziggo-url Silverlight mag gebruiken.
M.a.w. ook al gebruik je Firefox, de rendering engine van MSIE is een niet-te-verwijderen onderdeel van Windows (hooguit kun je iexplore.exe verwijderen zodat je die browser niet meer als geheel kunt opstarten). Dus is het veiliger om het aanvalsoppervlak via MSIE te verkleinen, o.a. door Silverlight geheel te verwijderen.
Ik heb IE explorer zo ingesteld dat er eigenlijk niets toegestaan is. Voor 'Internet' staan de beveiligingsinstellingen dus op allerhoogst.
Verder doe ik ook nooit wat met IE, behalve één bepaalde site die ik erg goed ken (ben er zelf admin) en waar ik IE wel eens gebruik om dingen op die site te testen. Voor die site heb ik dus een uitzondering gemaakt in de instellingen van 'vertrouwde sites'. Die site maakt geen gebruik van Silverlight.
Ik heb het idee dat IE op die manier weinig risico oplevert.
Het enige dat verder gebruik maakt van IE is de Microsoft Update (staat bij mij op downloaden, maar zelf bepalen wat en wanneer) .
En sommige functies binnen Win7 zijn er duidelijk mee gekoppeld want als je echt alles binnen de Geavanceerde Instellingen uitschakelt gaat de File Explorer van Windows rare dingen doen, heb ik gemerkt. Dus geheel verwijderen is helaas geen optie.
De kunst is het om net zover te beveiligen dat je een bruikbaar systeem overhoudt maar met dat systeem wel zover afwijkt (in positieve beveiligingszin) van de grote massa dat er veel minder malware is die er vat op heeft. Zelf heb ik Silverlight niet nodig, maar als je, zoals Briolet schrijft, het wel nodig hebt, is verwijderen natuurlijk geen optie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?