The Dutch HackInfo

Information about Hacking, Security & Tweaking

Security issues

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (1 Vote)

zero dayGoogles Project Zero-onderzoeksteam heeft aanwijzingen dat exploits voor een nog niet gedicht lek in Android actief misbruikt worden. De exploits werken op minstens achttien verschillende Android-toestellen, die er volledig mee overgenomen kunnen worden.

Het gaat om een privilege escalation-kwetsbaarheid met de aanduiding CVE-2019-2215 waarmee bepaalde Android-apparaten volledig over te nemen zijn. Google beschouwt de kwetsbaarheid als zeer ernstig en voor misbruik is enkel de installatie van een kwaadaardige app vereist. Ars Technica heeft aanvullende informatie.

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

linkedin_logoOp een Russische hackersite is een bestand met de versleutelde wachtwoorden van 6,5 miljoen LinkedIn-gebruikers geplaatst. Vervolgens werd opgeroepen om de hashes te achterhalen, wat inmiddels 300.000 wachtwoorden heeft opgeleverd, zo meldt de Noorse website Dagensit.no. De oproep om te helpen met het kraken van de hashes wordt bevestigd door beveiligingsonderzoeker Per Thorsheim. Ook op andere websites probeert men de hashes te kraken. 
Ook op Twitter zijn inmiddels talloze berichten over het lek verschenen, waaronder een link naar de 118MB grote database. Gebruikers krijgen dan ook het advies hun wachtwoord te wijzigen. Het Finse CERT heeft inmiddels een waarschuwing afgegeven. 

 De Duitse beveiligingsexpert Stefan Esser merkt op dat het wijzigen van het wachtwoord niet zoveel zin heeft, zolang het lek waardoor de aanvallers de database wisten te bemachtigen niet wordt verholpen. LinkedIn heeft nog altijd niet gereageerd

 Overzicht van geraden hashes online, alsmede mirror van database-hashes
 Volgens een persbericht van LinkedIn uit februari, heeft de sociale netwerksite 161 miljoen gebruikers. Dat zou betekenen dat de aanvallers de hashes van 4% van de gebruikers hebben bemachtigd.

Inmiddels laat LinkedIn via Twitter weten dat het de zaak in onderzoek heeft.

Check of je wachtwoord er ook tussen zit http://leakedin.org

Bron: security.nl

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (3 Votes)

firewallOnderzoekers hebben nieuwe aanvalsmethodes gepubliceerd die een ernstige kwetsbaarheid blootlegt in het initial sequence numbers-protocol. Het gat zou in firewalls van een groot aantal mobiele aanbieders voorkomen.

Het toevoegen van initial sequence numbers (ISN) aan datapakketten is als een patch ingevoerd om eerdere hacks via spoofing op tcp-verbindingen tegen te gaan. ISN gebruikt daarvoor pseudowillekeurige volgnummers. Een groot aantal firewalls van bekende fabrikanten zoals Cisco, Juniper en Check Point implementeren ISN en verwerpen pakketten die incorrect zijn. Juist deze eigenschap maakt de weg vrij voor een aantal nieuwe aanvalsmethoden, zo stellen onderzoekers van de universiteit van Michigan in een rapport.

De onderzoekers stellen in 'Off-Path TCP Sequence Number Inference Attack' dat zij een tcp-verbinding konden kapen door gebruik te maken van software op een Android-smartphone en een mobiele provider die ISN ingeschakeld heeft op zijn firewalls. Zo was het onder andere mogelijk om http-verbindingen met diensten als Facebook, Twitter en Windows Live Messenger over te nemen door middel van een zogenaamdeon-site tcp hijacking-aanval. Daarbij wordt de oorspronkelijke server in de communicatie buiten spel gezet en communiceert een slachtoffer ongemerkt met de aanvaller.

Een andere aanvalsmethode kan bijvoorbeeld cookies stelen van een gebruiker die is ingelogd op een website, zo schrijft Ars Technica. Ook zou het mogelijk zijn om met behulp van malware uit de veilig geachte sandboxomgeving van een browser te breken om zo data van andere applicaties buit te kunnen maken.

Uit een onderzoek naar de mogelijke kwetsbaarheid van 150 mobiele aanbieders blijkt dat 48 van hen ISN ingeschakeld hebben op hun firewalls. Via een Android-applicatie kan een smartphonebezitter ook zelf testen of zijn telco kwetsbaar is; een snelle test op de redactie van Tweakers.net laat zien dat de firewalls van KPN door de app als kwetsbaar worden gekwalificeerd, terwijl er geen definitief oordeel wordt geveld over de netwerkapparatuur van Vodafone. Het netwerk van T-Mobile is niet getest.

Ondanks dat het merendeel van de aanvalsmethoden alleen ingezet kan worden als applicaties of websites data zonder encryptie versturen, en het gebruik van ssl- en tls-protocollen dus enige bescherming zouden bieden, kunnen de technieken ook ingezet worden voor dos-aanvallen. Daarnaast is het de vraag of mobiele aanbieders ISN zullen uitschakelen op hun firewalls omdat zij veel dataverkeer kunnen besparen door verdachte ip-pakketjes al bij de toegangspoort te weigeren.

fire3wall-middlebox-detection

Bron: tweakers.net

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

linux-lekHet kersverse lek in de Linux-kernel wordt al misbruikt. Het gaat weliswaar om een lek voor lokale gebruikers, maar servers worden via gekaapte webserveraccounts geheel overgenomen.

Dit beveiligingsgat zit in de 32-bit compatibiliteitslaag voor 64-bit uitvoeringen van Linux en is vorige week ontdekt. Feitelijk is het lek herontdekt, want het is eerder al ontdekt én gedicht. De patch van 2007 blijkt echter per ongeluk weer 'ingetrokken' te zijn door kernelontwikkelaars.

Snel op gesprongen
Hackers duiken nu snel op dit lek. Hostingbedrijf iWeb geeft aan dat diverse websites op één van zijn gedeelde hostingservers zijn gekaapt via dit Linux-lek. Security-expert Manuel Humberto Santander Pelaez van het Internet Storm Center (ISC) meldt in een ISC-waarschuwing dat zijn bedrijf, het Colombiaanse EPM, verdacht gedrag waarnam op een Linux-server.

Voor succesvol misbruik moet een aanvaller wel een lokaal account op de Linux-server hebben. Machines die webservers hosten, hebben vaak veel lokale accounts; voor elk van de klanten die een website draaien. Een ssh-inlog met beperkte rechten, veelgebruikt voor beperkt beheer van websites, zou al afdoende zijn om binnen te komen via dit lek.

De code om misbruik te maken van dit beveiligingsgat in Linux is ook al publiekelijk beschikbaar gesteld. Daarbij heeft hacker Ac1db1tch3z zijn exploitcode voorzien van de mogelijkheid een backdoor te installeren op een gekraakt Linux-systeem. Via die achterdeur kan een hacker later nog binnenkomen, ook als dit kernellek is gedicht.

Rebooten
Er is al een algemene patch voor Linux, die leveranciers zoals Red Hat, ook hebben verwerkt in hun Linux-distributies. Installatie van die patch vereist wel een reboot van de server, wat het dichten van dit kritieke gat kan uitstellen.

Ook is er een workaround beschikbaar. Die dicht het lek echter niet volledig, meldt securityleverancier KSplice. Deze maatregel beschermt alleen tegen de exploitcode die nu rondwaart.

Workaround onvolledig
"Een vrij makkelijke aanpassing aan de exploit stelt die in staat om te blijven werken, dus zelfs als die workaround is toegepast", waarschuwt mede-oprichter en coo Waseem Daher van KSplice. Bovendien schakelt die workaround de ondersteuning voor 32-bit applicaties uit, wat een probleem kan zijn voor servers die niet 'puur' 64-bit zijn.

KSplice biedt een tool waarmee beheerders van Linux-servers kunnen controleren of zo'n backdoor aanwezig is op hun machines. Ontwikkelaar en ceo Jeff Arnold van KSplice blogt dat zijn bedrijf betalende klanten ook een fix biedt voor dit lek waarvoor de server niet opnieuw gestart hoeft te worden. Die fix is voor Red Hat Enterprise Linux, CentOS, Debian, Ubuntu, Parallels Virtuozzo Containers, OpenVZ en CloudLinux.

Bron: Techworld


Copyright © 2019. All Rights Reserved.