The Dutch HackInfo

Tavis Ormandy, beveiligingsonderzoeker bij Googles Project Zero, heeft opnieuw een lek gevonden in de onderliggende anti-malware-engine van Windows Defender. Microsoft heeft het lek volgens de onderzoeker gedicht.

Ormandy meldt dat hij dit lek met behulp van een fuzzer vond in de Malware Protection Engine, oftewel MsMpEng, van Windows. Met behulp van een fuzzer kan een programma geautomatiseerd van willekeurige data of gedeeltelijk geldige inputs worden voorzien. Zo is het mogelijk om vast te stellen of het programma op een onverwachte manier reageert, bijvoorbeeld door te crashen. Via deze weg vond Ormandy een heap corruption in een api, die volgens hem een 'krachtige aanzet voor een exploit' vormt. Het zou niet moeilijk zijn om er gebruik van te maken.

De ontwikkelaars van het populaire contentmanagementsysteem (cms) Drupal waarschuwen voor een ernstig beveiligingslek waardoor aanvallers websites kunnen overnemen en adviseren de update die het probleem verhelpt direct te installeren. In totaal gaat het om drie kwetsbaarheden die zijn verholpen.

Via het ernstige lek kon een aanvaller willekeurige code uitvoeren en zo volledige controle over de website krijgen. De overige twee kwetsbaarheden zijn minder ernstig en maken het mogelijk voor gebruikers die bestanden kunnen uploaden om die vervolgens aan te passen. Daarnaast konden bestanden die door anonieme gebruikers werden geupload door andere anonieme gebruikers worden bekeken. Drupal-beheerders krijgen het advies om direct te updaten naar Drupal 7.56 of 8.3.4.

Een bekende malwarefamilie die gegevens voor internetbankieren steelt blijkt machines via UPnP in proxy-servers te veranderen. Daarvoor waarschuwt securitybedrijf McAfee. Volgens de beveiliger is QakBot, zoals de malware wordt genoemd, de eerste malware die besmette machines als https-gebaseerde controleservers inzet. QakBot doet dit om de werkelijke locatie van de controleserver te verbergen.

QakBot is al geruime tijd actief en is ontwikkeld om gegevens voor internetbankieren en andere waardevolle data te stelen. De malware maakt echter ook gebruik van universal plug and play (UPnP) om poorten open te zetten, zodat inkomende verbindingen van iedereen op het internet worden toegestaan om met de besmette machine te communiceren. Beveiligingsexperts waarschuwen al geruime tijd voor de risico's van UPnP en vorig jaar adviseerde de FBI om het uit te schakelen.

WikiLeaks heeft een nieuwe publicatie in zijn Vault 7-reeks online gezet. Deze draait om het Cherry Blossom-project van de CIA, dat zich richt op het uitbuiten van kwetsbaarheden in routers en toegangspunten, om bijvoorbeeld man-in-the-middleaanvallen uit te kunnen voeren.

De CIA omschrijft Cherry Blossom in een van de documenten die WikiLeaks publiceert, als een manier om internetactiviteit te monitoren en software-exploits uit te voeren bij doelwitten. "CB is vooral gericht op het binnendringen van draadloze netwerkapparaten, zoals routers en accesspoints om deze doelen te bereiken."

Ondanks de uitbraak van de WannaCry-ransomware die bedrijven via een SMB-lek in Windows aanviel, zijn er nog altijd 5,5 miljoen systemen met een open SMB-poort (445) die via internet vindbaar is, zo stelt het Amerikaanse beveiligingsbedrijf Rapid7 aan de hand van eigen onderzoek.

Vorig jaar ging het nog om 4,6 miljoen systemen. Van 800.000 gevonden systemen met een open SMB-poort kon worden vastgesteld dat ze Windows draaien. SMB wordt onder andere gebruikt voor het delen van bestanden en printers, alsmede beheer op afstand. "Het verschijnen van deze ransomwareworm benadrukt het belang dat individuen en organisaties meer moeten stilstaan bij wat ze aan het internet blootstellen. Er is geen reden om SMB volledig bloot te stellen zonder firewall of het op andere manieren beperken van de toegang", aldus de onderzoekers in het rapport (pdf).

Criminelen infecteren op dit moment Linux-servers via een beveiligingslek in Samba dat eind mei werd gepatcht. Een week na het uitkomen van de beveiligingsupdate werd de eerste aanval al waargenomen, zo meldt het Russische anti-virusbedrijf Kaspersky Lab.

Samba is een opensourceprogramma dat van het smb-protocol gebruikmaakt en bijvoorbeeld Windowsmachines met Unixmachines via zowel lokale netwerken als het internet laat communiceren. Via de kwetsbaarheid kan een aanvaller willekeurige code met rootrechten op de Samba-server uitvoeren. In het geval van de nu waargenomen aanvallen wordt er een backdoor op de server geïnstalleerd en een progamma dat de server naar de digitale valuta Monero laat minen.

Een Hongaarse beveiligingsonderzoeker heeft een bestaande tool voor het opschonen van pdf-bestanden aangepast zodat ook verborgen watermerken worden verwijderd. Deze week werd bekend dat een klokkenluidster die een vertrouwelijk NSA-rapport lekte waarschijnlijk is gevonden via het watermerk dat kleurenlaserprinters aan uitdraaien toevoegen.

Het NSA-rapport werd door de klokkenluidster via de post naar nieuwsorganisatie The Intercept gestuurd, dat het vervolgens scande en als pdf-document publiceerde. Het watermerk was ook in het pdf-document terug te vinden. The Intercept is een uitgifte van First Look Media, dat al geruime tijd een tool aanbiedt genaamd "PDF Redact Tools", om metadata uit documenten te verwijderen voordat die worden gepubliceerd.

Beveiligingsbedrijf Kaspersky heeft Android-malware ontdekt, die het zelf aanduidt als de Dvmap-trojan. Deze zogenaamde rooting-malware onderscheidt zich van andere varianten doordat hij in staat is om kwaadaardige code te injecteren.

Onderzoeker Roman Unucheck legt uit dat de malware sinds september 2016 ongeveer honderd keer naar Googles Play Store is geüpload en in totaal 50.000 keer is gedownload. Na een melding door Kaspersky is de Dvmap-trojan, die onder meer in de Play Store aanwezig was onder de naam colourblock, door Google verwijderd.

Een groep geavanceerde hackers die door Microsoft 'Platinum' wordt genoemd gebruikt technologie van Intel om onzichtbaar op besmette systemen en netwerken te communiceren, zelfs als de netwerkkaart is uitgeschakeld en zonder dat firewalls en netwerkmonitoringstools op het systeem dit kunnen detecteren.

Vorig jaar kwam de hackergroep al in het nieuws vanwege het gebruik van "hotpatching", waarbij er stilletjes code in processen werd geïnjecteerd, zonder dat een proces moest worden herstart. Het was voor het eerst dat deze techniek door aanvallers werd waargenomen en de groep heeft volgens Microsoft een nieuwe primeur, namelijk het gebruik van Intel Active Management Technology (AMT) Serial-over-LAN (SOL) als communicatiekanaal. Dit kanaal werkt onafhankelijk van het besturingssysteem, waardoor alle communicatie die erover gaat onzichtbaar voor firewalls en monitoringstools op de host is. Niet eerder is er malware aangetroffen die AMT SOL gebruikt om te communiceren, aldus Microsoft.

De EternalBlue-exploit van de NSA die eerder door de WannaCry-ransomware en Adylkuzz-miner werd gebruikt wordt nu ook door aanvallers ingezet om servers met een backdoor te infecteren. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye.

De EternalBlue-exploit maakt gebruik van een SMB-lek in Windows. Zodra de nu waargenomen aanvallers via deze kwetsbaarheid toegang tot een machine hebben verkregen openen ze een shell om instructies in een VBScript-bestand te zetten. Dit bestand wordt uitgevoerd en downloadt de uiteindelijke lading van een andere server. Het gaat om de Gh0st RAT (remote acces trojan) en de Nitol-backdoor. Het exemplaar van de Gh0st RAT bleek met een geldig digitaal certificaat te zijn gesigneerd. Iets dat volgens de onderzoekers steeds vaker voorkomt.