image

Vijf personen doelwit van aanval met Firefox-zerodays

maandag 12 augustus 2019, 09:02 door Redactie, 0 reacties

Vijf personen waren in juni het doelwit van een aanval waarbij twee zerodaylekken in Firefox werden gebruikt. De aanval vond plaats op 17 juni, maar op 30 mei legden de aanvallers het eerste contact met hun slachtoffers. De aanvallers deden zich voor als een medewerker van de Universiteit van Cambridge.

De eerste e-mailberichten van de aanvallers, die naar tweehonderd mensen werden gestuurd, bevaten geen kwaadaardige code. Op 17 juni versturen de aanvallers naar vijf personen een e-mail met een link. Deze link wijst naar een domein van de Universiteit van Cambridge. De betreffende pagina laadt een exploit die misbruik maakt van twee kwetsbaarheden in Firefox en vervolgens malware op Mac-computers installeert.

Eén van de vijf aangevallen personen is een medewerker van cryptobeurs Coinbase, dat de aanval in een vroeg stadium ontdekt. Coinbase rapporteerde in juni al over de aanval en heeft nu meer details bekendgemaakt. Eén van de twee zerodaylekken die bij de aanval wordt ingezet was al geruime tijd in Firefox aanwezig, maar de manier waarop de aanvallers er misbruik van maken was pas sinds 12 mei mogelijk. Dit werd veroorzaakt door een aanpassing in de code van de browser. Dat laat zien dat de aanvallers de kwetsbaarheid snel hebben gevonden en in een exploit hebben verwerkt, hoewel Coinbase ook niet uitsluit dat de aanvallers de exploit van een derde partij hebben gekocht.

Slachtoffers die de pagina van de aanvallers niet met Firefox bezochten kregen een melding dat ze de applicatie met Firefox moesten openen. Na de ontdekking van de aanval op 17 juni kwam Mozilla op 18 juni met een noodpatch voor het eerste zerodaylek, gevolgd door een tweede update op 20 juni voor de tweede zeroday. Het is nog altijd onbekend of de aanvallers voor het versturen van de e-mails naar hun slachtoffers e-mailaccounts van echte universiteitsmedewerkers hebben gecompromitteerd of dat ze die zelf hebben aangemaakt, aldus Coinbase.

Image

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.