image

Beveiligingsexperts liepen risico door gebruik OllyDBG-plug-in

vrijdag 4 november 2016, 14:04 door Redactie, 3 reacties

Duizenden beveiligingsexperts en -onderzoekers liepen risico doordat ze een plug-in voor het programma OllyDBG gebruiken die al jaren niet meer wordt ondersteund, zo claimt beveiligingsbedrijf Forcepoint. OllyDBG is een populaire tool voor het reverse engineeren van software, zoals malware.

Onderzoekers kunnen zo achterhalen hoe malware precies werkt. OllyDBG wordt echter jaren al niet meer ondersteund. Een kenmerk van OllyDBG is dat het allerlei plug-ins ondersteunt. Ondanks het stoppen van de ondersteuning van OllyDBG verschenen er nog steeds plug-ins voor het programma. Eén van deze plug-ins is StrongOD. De plug-in omzeilt de maatregelen die malware en kopieerbeveiligingen nemen om analyse door onderzoekers tegen te gaan.

Sinds 2012 zijn er geen nieuwe updates voor de plug-in uitgekomen. Bij het opstarten van OllyDBG maakt het programma echter verbinding met het domein cracklife.com om te controleren of er geen updates voor de plug-in beschikbaar zijn. Onderzoekers ontdekten verschillende kwetsbaarheden in dit proces (pdf). Zo bleken er beveiligingslekken in het updateproces te zitten die een aanvaller via een man-in-the-middle aanval of het domein cracklife.com zou kunnen uitvoeren. Daarnaast bleek dit domein verlopen te zijn.

De onderzoekers konden het daardoor registreren, maar waarschuwen dat als een aanvaller dit had gedaan die kwaadaardige updates naar gebruikers had kunnen sturen. Doordat de onderzoekers het domein in handen kregen konden ze kijken hoeveel gebruikers de plug-in heeft. Dit kwam neer op meer dan 75.000 unieke ip-adressen. "Deze cijfers kwamen als een verrassing. We hadden niet verwacht om meer dan 75.000 unieke ip-adressen en meer dan een half miljoen verzoeken te zien voor een niet meer ondersteunde plug-in van een debuggingtool die al 6 jaar niet meer wordt ondersteund", zo laten ze weten.

De onderzoekers erkennen dat de impact van hun aanval niet moet worden overdreven. In het geval een aanvaller een kwaadaardige update had verstuurd had het programma hier melding van gemaakt. "Een gebruiker zou het normaal verdacht moeten vinden dat een plug-in die sinds 2012 geen updates heeft ontvangen opeens meldt dat er een update is", zo stellen ze. Daarnaast gebruiken de meeste onderzoekers een virtual machine voor het analyseren van malware. Een eventuele infectie zou dan bij het herstellen of opnieuw starten van de virtual machine zijn verdwenen.

Volgens de onderzoekers laat hun onderzoek het risico van het gebruik van niet meer ondersteunde software zien. Daarnaast laten ze weten dat alleen digitaal gesigneerde updates via beveiligde kanalen moeten worden geïnstalleerd en software die niet meer in gebruik is moet worden verwijderd. Ook waarschuwen ze voor het risico van verlopen domeinen waar computers, vaak zonder dat gebruikers dit doorhebben, verbinding mee maken.

Reacties (3)
04-11-2016, 14:37 door Anoniem
die plugin heeft gewoon een optie om autoupdating uit te zetten, storm in een glas water, gebeurt zo vaak met RE tooling en verlopen hosts (en of http ipv https)...
04-11-2016, 15:38 door Anoniem
Door Anoniem: die plugin heeft gewoon een optie om autoupdating uit te zetten, storm in een glas water, gebeurt zo vaak met RE tooling en verlopen hosts (en of http ipv https)...

Noem dat maar een storm in een glas water. Het domein had gehijjacked kunnen worden en geinfecteerde plugin updates kunnen forceren. Dan sta je toch aardig te kak als beveiligingsEXPERT.

Maar goed, een oude tool als deze had allang vervangen moeten worden. Werken met oude tools kan al zijn nadelen hebben omdat het niet volgens de huidige standaarden opereert.
04-11-2016, 19:17 door Anoniem
Door Anoniem:
Door Anoniem: die plugin heeft gewoon een optie om autoupdating uit te zetten, storm in een glas water, gebeurt zo vaak met RE tooling en verlopen hosts (en of http ipv https)...

Noem dat maar een storm in een glas water. Het domein had gehijjacked kunnen worden en geinfecteerde plugin updates kunnen forceren. Dan sta je toch aardig te kak als beveiligingsEXPERT.

Maar goed, een oude tool als deze had allang vervangen moeten worden. Werken met oude tools kan al zijn nadelen hebben omdat het niet volgens de huidige standaarden opereert.

Zoals al gezegd; dit geldt al heel lang voor vrijwel alle (oudere) RCE tooling en is niets nieuws onder de zon. Een beetje engineer weet dat donders doet ... Zelfs veel auto-update functies van (reguliere) bekende software is zo onveilig als het maar kan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.