image

Aanvallers combineerden Firefox- en Windows-lek voor verspreiding backdoor

dinsdag 26 november 2024, 14:12 door Redactie, 7 reacties

Aanvallers hebben een kwetsbaarheid in Mozilla Firefox en Windows gecombineerd voor het automatisch infecteren van gebruikers met een backdoor, zo laat antivirusbedrijf ESET weten. Op het moment van de aanvallen waren er geen beveiligingsupdates voor de kwetsbaarheden beschikbaar. Mozilla werd op 8 oktober over het beveiligingslek ingelicht en kwam op 9 oktober met een patch voor Firefox.

Het onderzoek naar de kwetsbaarheid in Firefox (CVE-2024-9680) leverde een tweede aangevallen kwetsbaarheid op die zich in Windows bevond (CVE-2024-49039). Microsoft werd op 14 oktober ingelicht en verhielp het probleem op 12 november. De aanvallen begonnen met een malafide website die slachtoffers naar een exploitserver stuurde. Was de aanval succesvol, dan werd er shellcode uitgevoerd die de uiteindelijke backdoor op het systeem van de gebruiker installeerde.

Het beveiligingslek in Firefox maakte het mogelijk voor aanvallers om code binnen de browser uit te voeren. Firefox maakt gebruik van een sandbox, om te voorkomen dat kwetsbaarheden in de browser een aanvaller meteen toegang tot het hele systeem geven. Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren. Het beveiligingslek in de Task Scheduler van Windows is alleen te misbruiken door een aanvaller die al toegang tot het systeem heeft.

Van 10 tot 16 oktober, net nadat de Firefox-kwetsbaarheid was gepatcht, ontdekten onderzoekers van ESET andere servers waarop de exploit draaide. Eenmaal actief kan de backdoor wachtwoorden, cookies en andere inloggegevens stelen, alsmede allerlei soorten bestanden, screenshots maken en gebruikt worden voor het aanvallen van andere systemen. Volgens het antivirusbedrijf bevinden de meeste potentiële slachtoffers zich in Europa en de Verenigde Staten. De aanval is het werk van een aan Rusland gelieerde groep die zich met cybercrime en spionage bezighoudt, aldus ESET.

Reacties (7)
26-11-2024, 15:18 door Anoniem
Een sandbox is m.i. pas een sandbox als de app die daarin draait, beperkt is tot read only toegang op OS. Volledige virtualisatie dus. Met evt. uitzondering van de Download map.

"Het beveiligingslek in Windows maakte het mogelijk om uit de sandbox van de browser te breken en zo code op het systeem uit te voeren."
Hetzelfde als Google Chrome en de Apple Sandbox waarbij geen sprake is van virtualisatie, maar slechts een shell die toegang tot het systeem beperkt.

Firejail icm Apparmor voor Linux, Windows Sandbox (system wide) en Sandboxie (individueel, 'overleeft' reboot) zijn voorbeelden van onmisbare virtualisatietools voor browsers, games, p2p clients en andere 'risicovolle' apps.
26-11-2024, 15:18 door Joep Lunaar
Als ik het goed begrijp:
Een remote code execution kwetsbaarheid (RCE) in Firefox had effect buiten de AppContainer, een functie van MS Windows dat een toepassingen in een sandbox houdt. De fix voor de RCE werd door Mozilla binnen een dag na melding uitgerold en de fix voor de kwetsbaarheid in MS Windows liet een maand op zich wachten om uitgebracht te worden. Die fout in MS Windows had in potentie een veel breder bereik dan de RCE in Mozilla, malafide code in welke toepassing dan ook kon uit die AppContainer breken. De meeste toepassingen in gebruik onder MS Windows kunnen niet tippen aan de kwaliteit van de code van Firefox, dus ...
26-11-2024, 15:23 door Anoniem
lekker , weer Firefox
Dacht dat deze net zo veilig was als de chrome, chromium, brave en\z. browsers.
Wel prive maar secure?
Dus toch maar een tweede brave profiel voor inloggen?
Sandbox bij firefox ook minder dacht ik
27-11-2024, 16:31 door Anoniem
Door Anoniem: lekker , weer Firefox
Dacht dat deze net zo veilig was als de chrome, chromium, brave en\z. browsers.
Wel prive maar secure?
Dus toch maar een tweede brave profiel voor inloggen?
Sandbox bij firefox ook minder dacht ik

Mwa, Chrome is ook niet zonder fouten:

https://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-15031/Google-Chrome.html?page=1&year=2024&order=3

Om maar aan te geven dat geen enkele software zonder insecten is.
27-11-2024, 16:42 door Joep Lunaar
Door Anoniem: lekker , weer Firefox
Dacht dat deze net zo veilig was als de chrome, chromium, brave en\z. browsers.
Wel prive maar secure?
Dus toch maar een tweede brave profiel voor inloggen?
Sandbox bij firefox ook minder dacht ik

Je mist iets: de fout in de sandbox is een fout in MS Windows, de sandbox is een functie van MS Windows.
Door een "remote code execution" (RCE) probleem in Firefox kan een aanvaller de kwetsbaarheid in de MS Windows sandbox uitbuiten, en die "exploit" kan alleen lokaal. RCE laat lokale uitvoering toe van code die van buiten is aangeleverd (de RCE payload).

En aangezien Brave op Firefox is gebaseerd zat die RCE kwetsbaarheid waarschijnlijk ook in die webbrowser.
27-11-2024, 17:07 door Anoniem
Door Joep Lunaar:
Door Anoniem: lekker , weer Firefox
Dacht dat deze net zo veilig was als de chrome, chromium, brave en\z. browsers.
Wel prive maar secure?
Dus toch maar een tweede brave profiel voor inloggen?
Sandbox bij firefox ook minder dacht ik

Je mist iets: de fout in de sandbox is een fout in MS Windows, de sandbox is een functie van MS Windows.
Door een "remote code execution" (RCE) probleem in Firefox kan een aanvaller de kwetsbaarheid in de MS Windows sandbox uitbuiten, en die "exploit" kan alleen lokaal. RCE laat lokale uitvoering toe van code die van buiten is aangeleverd (de RCE payload).

En aangezien Brave op Firefox is gebaseerd zat die RCE kwetsbaarheid waarschijnlijk ook in die webbrowser.
Brave is een chromium browser en Firefox Ghekko engine. Wat bedoel je met hetzelfde?
28-11-2024, 12:34 door Anoniem
Door Anoniem:
Door Joep Lunaar:
...
En aangezien Brave op Firefox is gebaseerd zat die RCE kwetsbaarheid waarschijnlijk ook in die webbrowser.
Brave is een chromium browser en Firefox Ghekko engine. Wat bedoel je met hetzelfde?
Sorry, foutje (door rol Brendan Eich in beide projecten).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.