Computers waarbij bekende exploits niet zijn gepatched (ge-update) lopen meer risico om gehackt of geïnfecteerd te worden dan computers waar zero-day exploits aanwezig zijn. het ontdekken en uitbuiten van een zero-day exploit vereist veel kennis en geld beweert Stefan Frei van het Deense Secunia. “Zero-day exploits zijn vele male waardevoller, juist omdat er geen patch of update voor beschikbaar is.”
Daarentegen zijn er vele computers waarop bekende exploits nog niet zijn gepatched. Dit zijn vaak zakelijke computers omdat het ‘uitrollen’ van updates niet altijd even efficiënt gebeurd. Van de 3 miljoen onderzochte computers ging het vaak om verouderde versies van Adobe Reader en Flash, Firefox, Quicktime van Apple en java.
Adobe heeft een zeer belangrijke beveiligingsupdate voor Adobe Reader en Acrobat uitgebracht, waarmee het maar liefst 23 lekken in de PDF-lezers dicht. Twintig van de lekken zouden een aanvaller willekeurige code op kwetsbare systemen laten uitvoeren. Twee van de kwetsbaarheden zorgden voor een denial of service, terwijl het laatste lek alleen in Linux aanwezig was en een aanvaller zijn rechten liet verhogen. Het werkelijke aantal lekken kan hoger liggen, aangezien Adobe zelf gevonden kwetsbaarheden niet in de Security Bulletins vermeldt.
De update verhelpt ook twee zero-day kwetsbaarheden in de PDF-lezer die hackers al enige tijd actief misbruikten. Het ging om een specifiek Adobe Reader en Acrobat-lek en een door Flash geïntroduceerde kwetsbaarheid. Wederom speelde Google-onderzoeker Tavis Ormandy een belangrijke rol bij het beveiligen van Adobe’s software.
Ormandy ontdekte zeven van de 24 gepatchte lekken. Gebruikers van versie 9.3.4 krijgen het advies om naar versie 9.4 te updaten. Voor wie versie 8.2.4 gebruikt is update 8.2.5 beschikbaar.
Qua bekendheid lijkt Conficker de grootste bedreiging op het internet, maar desondanks is de, relatief onbekende, Gumblar Trojan de absolute nummer één. Wat betreft de gevarenklasse steekt Gumblar ook met kop en schouders boven de huidige bekende dreigingen uit.
Gumblar is een infectie die wordt opgelopen door middel van een ‘Drive-by-download’, het slachtoffer bezoekt een website die besmet is met malafide code van Gumblar (vorige slachtoffer). Indien het slachtoffer niet in het bezit is van de nieuwste Adobe reader en Adobe Flash updates slaat Gumblar toe. De PC wordt besmet, Gumblar plaatst zichzelf in de browser, wijzigt de Google zoekresultaten (enkel Gumblar-geïnfecteerde resultaten worden getoond) en opent een Backdoor naar 78.109.29.112 (een botnet dat al langer geassocieerd wordt met Malware redirects) . Tevens gaat Gumblar op zoek naar FTP gegevens welke worden verzonden naar een server. Vervolgens maakt een andere server geautomatiseerd verbinding met de FTP en doorloopt alle mappen op de FTP. Bestanden met de extensie .php, .htm en, .js worden geïnjecteerd met malafide code.
De PHP code zou hiermee kunnen beginnen:
if(!function_exists(''tmp_lkojfghx'')){if(isset($_POST[''tmp_lkojfghx3'']))
De HTML code kan er als volgt uitzien:
<script><!--(function(){var dxDt=''%'';var vEBei=''va<72
Gumblar lijkt het voornamelijk te hebben voorzien op bestanden met ‘config’ in de bestandsnaam. In de map /Images/ wordt het bestand Image.php aangemaakt wat waarschijnlijk de backdoor functie van Gumblar huisvest. Ook wordt er een IFRAME geplaatst in de HTML bestanden. De webbrowser probeert gegevens te downloaden van www.gumblar.cn, bigtopartists.cn of martuz.cn. De geïnjecteerde code zoekt contact met gumblar.cn/rss en haalt daar een willekeurige op javascript gebaseerde exploit binnen. Aangezien het script dynamisch gegenereerd en zwaar geobfusceerd is, maakt dit detectie extra lastig. Zodra een webmaster de eerste infectie probeert te verwijderen of andere aanpassingen aan .htm, .php en .asp maakt, worden de kwaadaardige scripts opnieuw geïnjecteerd. Afhankelijk van verdere beveiligingslekken op de PC van het slachtoffer worden er meer Malware componenten geïnstalleerd.
Om de volledige infectie te verwijderen, is het noodzakelijk om de infectie van de PC zelf te verwijderen met bijv. MalwareBytes, daarna de FTP wachtwoorden te wijzigen (desnoods voortaan SFTP te gebruiken) en tenslotte de complete website van de server te wissen. Hierna plaats men de (hopelijk aanwezige) schone backup terug op de host.
Adobe heeft nieuwe versies van Reader en Acrobat uitgebracht waarin meerdere beveiligingslekken zijn verholpen. Adobe Reader is een programma waar u PDF bestanden mee kunt openen. Met Adobe Acrobat kunt u PDF bestanden maken.
pcbeveiligen.nl raadt u aan om deze nieuwe versies te downloaden en te installeren.
Klik hier voor de oplossing (pc beveiligen forum)
Adobe heeft nieuwe versies van Flash Player en Shockwave Player uitgebracht waarin meerdere beveiligingslekken zijn verholpen.
pcbeveiligen.nl raadt u aan om deze nieuwe versies te downloaden en te installeren.
Klik hier voor de oplossing
Reacties