Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 32, views: 12.815 •
Submitter: EDIT

Er is malware opgedoken die gebruikmaakt van een niet eerder beschreven lek in Windows. Wat verder opvalt, is dat de rootkit-drivers die onderdeel van de malware zijn een certificaat van het bedrijf Realtek dragen.

De malware werd onlangs ontdekt door een antivirusbedrijf uit Wit-Rusland en maakt gebruik van een fout in de manier waarop Windows .lnk-bestanden verwerkt, zo meldt Security.nl. Gebruikers die een besmette usb-stick openen in Explorer of een andere filemanager die iconen van .lnk-bestanden toont, zijn al vatbaar voor de malware. De malware hanteert niet de veelgebruikte methode om via een autorun.inf-bestand ongevraagd processen te starten. Ook Windows 7 met alle nieuwste updates zou vatbaar zijn voor de exploit.

Als de malware wordt uitgevoerd, installeert deze twee verschillende rootkit-drivers die code in systeemprocessen kunnen injecteren. Het opmerkelijke aan deze drivers is dat ze met een certificaat van hardwarefabrikant Realtek zijn ondertekend. Volgens Alexander Gostev van Kaspersy Labs is de signatuur legitiem, al is deze op 12 juni jongstleden verlopen. Mogelijk is dat ook de reden dat de malware nu pas is ontdekt, aangezien de malafide drivers al uit januari stammen.

De malware, die door Kaspersky Stuxnet is gedoopt, is sinds zijn ontdekking op meer dan 16.000 systemen aangetroffen. Het overgrote deel van deze systemen staat in India, Iran en Indonesië. Hoe de makers aan de Realtek-signatuur zijn gekomen is nog niet duidelijk. Gostev speculeert dat Realtek zijn driver-ontwikkeling mogelijk heeft uitbesteed in India, waar het certificaat vervolgens is uitgelekt. De drivers zouden mogelijk ook echt van Realtek afkomstig zijn en door de malware-makers zijn misbruikt om een rootkit te maken. Een aantal jaar terug bleek dat een drm-oplossing van Sony veel weghad van een rootkit. Op basis van deze Sony-drivers verscheen toen ook malware.

Volgens beveilingsexpert Frank Boldewin is de malware speciaal gemaakt om WinCC SCADA-systemen van Siemens aan te vallen. Hij zegt in de malware code te hebben gevonden die poogt een verbinding met de databases van dergelijke systemen te leggen. VirusBlokAda, het bedrijf dat de malware als eerste ontdekte, heeft met Realtek contact over de kwestie opgenomen, maar een antwoord is tot dusver uitgebleven.

Gerelateerde content

Alle gerelateerde content (34)

Reacties (32)

Hier een linkje met de nodige info voor systeembeheerders (of andere met interesse):
http://www.threatexpert.c...a7c121a61b8d06c03f92d0c13

Ik kan alleen niet terug vinden of W7 hier ook last van heeft. Als ik dat heb gevonden update ik mijn post wel.

Yep, W7 ook:

http://www.avira.com/en/t.../tr_drop.stuxnet.a.5.html

Platforms / OS:
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7

[Reactie gewijzigd door Elmo_nl op 16 juli 2010 15:33]

Uit de PDF in de eerste link:
Operating System Windows 7 Enterprise Edition x86 with all latest updates is vulnerable, that
means malware uses vulnerability that still exists and hasn’t been closed in OS Windows
Windows 7 is dus kwetsbaar :)

Edit: ah je had het al gevonden :)

[Reactie gewijzigd door EDIT op 16 juli 2010 15:33]

OK en welke versie van Windows heeft deze exploit? Beetje summier
Alle versies die .lnk bestandjes gebruiken voor de icoontjes, dat zijn ehm.. alle versies vanaf windows 95.
hmm, dat hoeft niet per se. kan best zijn dat de onderliggende code verder niet effectief is op 95/98.
Microsoft heeft ook een stukje op hun Malware Protection Center gezet hierover: http://www.microsoft.com/...&ThreatID=-2147331492

Vraag is, word dit tegengehouden door UAC? Zo ja, dan zouden Windows Vista en Windows 7 dus niet kwetsbaar zijn hiervoor, zolang de gebruiker niet klakkeloos op Yes klikt.
Zullen een aantal mensen ook wel balen als ze de UAC uit hebben gezet.. Aangezien ik niet echt graag op weet u het zeker dat u het zeker weet om door te gaan ;)
Dan nog, dan zet je toch alleen die prompt uit, dat kost je een paar muisklikken en 30 seconden om die ff in je local policy aan te passen. Je gaat dan toch niet geheel UAC uitzetten? Dat is wel erg overkill lijkt me.... dat is hetzelfde als de hele auto vervangen als het slot is opengebroken ;)

Al is het dus de vraag of UAC in dit specifieke geval iets uitgehaald zou hebben. Als hij namelijk gebruik maakt van een (kennelijke) bug, kan hij die misschien ook wel omzeilen.
Dannog, als iemand denkt een reguliere driver van Realtek te installeren voor z'n on-board geluidkaart oid, dan wordt de UAC melding gewoon geaccepteerd als zijnde normaal.
Ja maar als de gebruiker de software zelf installeert dan is er niet echt sprake meer van een lek in Windows maar van een lek in het certficaatmechanisme van softwarebouwers.

Bovendien is dan de exploit ook moeilijk dupliceerbaar voor andere malwarebouwers omdat anderen niet over die certificaten beschikken en neemt het risico enorm af.
Ja maar als de gebruiker de software zelf installeert dan is er niet echt sprake meer van een lek in Windows maar van een lek in het certficaatmechanisme van softwarebouwers.
Als Microsoft een goed certficaatmechanisme heeft kan dit certficaat geblacklist worden.
Als Microsoft een goed certficaatmechanisme heeft kan dit certficaat geblacklist worden.
Dat is niet zo'n goed plan want dat zou alle drivers van Realtek meteen onbruikbaar maken die hetzelfde certificaat gebruiken
Dat is niet zo'n goed plan want dat zou alle drivers van Realtek meteen onbruikbaar maken die hetzelfde certificaat gebruiken
...Dus is de conclusie dat het certificaatsysteem lek is.

quote toegevoegd voor duidelijkheid

[Reactie gewijzigd door tetraplan op 17 juli 2010 15:59]

...Dus is de conclusie dat het certificaatsysteem lek is.
En een lek certificaatsysteem *is* een lek in Windows, ook al probeert onze lokale MS evangelist hAl ons van het tegendeel te overtuigen...
...Dus is de conclusie dat het certificaatsysteem lek is.
Realtek heeft waarschijnlijk zijn eigen certificaat laten uitlekken. Dan is het systeem toch niet lek?
Er kan toch niks gebeuren als je alles onder een andere gebruiker dan je eigen gebruiker draait :). Wel grappig dat het al sinds januari op de markt is.

Waarom toch altijd achter de feiten aan lopen? Waarom niet de gehele kernel herschrijven en een keer een veilig OS maken? Of gaan ze het tegenwoordig als feature maken zodat het gebruiksvriendelijker wordt? Geef mij maar een veilig en stabiel besturingssysteem zonder gezeik.
maybe this is a real, as yet unknown vulnerability in Windows, or maybe it’s simply the latest “feature” from Redmond.
Andere gebruiker gaat in dit geval niet helpen, omdat het (zoals het er nu naar uitziet) een exploit van een bug betreft, waarbij privilege elevation plaatsvind.

Als de rootkit eenmaal geinstalleerd is, kan hij dan doen wat hij wil.

En de hele kernel herschrijven is een praktisch onmogelijke opgave, omdat je backwards compatible moet blijven, en ik denk dat de kernel inmiddels ook behoorlijk complex en groot geworden is.

Verder is Windows gewoon stabiel en veilig. Het is een illusie om te denken dat er OS-en zijn waar niks mee kan gebeuren, elk gangbaar OS heeft wel bugs, dat is nu eenmaal onontkoombaar bij zo'n complex stuk software.
Dit is gewoon een exploit, exploits zoals dit komen in alle software voor, ook andere OSjes. Heeft weinig met microsoft te maken. Dat toevallig microsoft het grootste platform heeft en ze daarom het meeste aandacht krijgt, tja. Het had ook andersom kunnen zijn.

Dit werkt ook onder windows 7 dus ik ga er van uit dat je als je onder normale user draait, hier ook last van hebt.

Een veilig OS maken is overigens nog niemand gelukt. Zeker niet als 't ook nog een bruikbaar OS moet zijn. Iedere mogelijkheid die je open laat voor het gebruik door gebruiker of applicaties kan een potentieel veiligheidslek zijn.

[Reactie gewijzigd door Sleep0rz op 16 juli 2010 15:49]

quote:

Dit is gewoon een exploit, exploits zoals dit komen in alle software voor, ook andere OSjes. Heeft weinig met microsoft te maken.

Quote:

http://www.avira.com/en/t.../tr_drop.stuxnet.a.5.html

Platforms / OS:
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7

Ja, inderdaad, heeft weinig met Microsoft te maken.

En ik maar denken dat artikel ging over een malware die ze gevonden die gebruik
maakt van een exploit. Er zijn heel veel exploits bekend, de kunst is om hieruit iets bruikbaars te maken en dat is ze toch echt wel gelukt.
Ik denk dat hij bedoelt dat er met een geldige signatuur (of faked bron) er op andere platforms ook vervelende dingen te doen zijn. Als ik een .dmg met een trojan (ASthtv05 variant ofzo) erin als "printerdriver" op een vertrouwde/certified site plaats is een nietsvermoedende Mac gebruiker net zo hard de klos (voor driver installs is immers altijd het user password nodig). Idem met besmette updates die een Linux gebruiker van een 'vertrouwde bron' binnen haalt (zoals met Squirrelmail vorig jaar).

Het fundamentele probleem met rootkits op *alle* huidige OSsen is eigenlijk niet op te lossen zonder ofwel verregaande restricties op het lokaal installeren van apps, drivers, etc door de gebruiker, ofwel een extreem restrictieve afscherming van apps (en drivers) tov het OS. Het laatste wordt nu langzaamaan wat meer haalbaar (met .NET, Java, Dalvik) maar qua performance en backwards compatibility lever je wel vreselijk veel in. En VM's zijn ook zelf weer niet foutloos...

Maar in de praktijk houdt snel patchen en veel extra checks (signatures, Apple's "ballotage" in de app store, trojan/malware scanners, checksums bij de Linux repositories, veel doorklik schermen bij de gebruiker, phishing filters, externe code bronnen als random readers, etc) de boel nog enigszins binnen de perken.

[Reactie gewijzigd door Dreamvoid op 16 juli 2010 21:28]

´´Het fundamentele probleem met rootkits op *alle* huidige OSsen is eigenlijk niet op te lossen zonder ofwel verregaande restricties op het lokaal installeren van apps, drivers, etc door de gebruiker, ofwel een extreem restrictieve afscherming van apps tov het OS.´´

In tegenstelling tot Windows ben ik het hier niet helemaal mee eens. In Linux zijn er namelijk wel programma´s voor zoals rootkithunters en zitten er standaard 3 in synaptic waarvan 1 ondersteunt.

Namelijk: unhide, chkrootkit, rkhunter, de 2de wordt zelfs door ubuntu ondersteunt! ;)
Voor Windows bestaat ook dat soort security software, de meeste virusscanners bevatten tegenwoordig een vorm van rootkit protection, zie bijvoorbeeld de post hieronder van wildhagen over MS Security Essentials.

Het probleem is echter dat rootkitmakers ook veel tijd en moeite steken in het omzeilen/slopen van beveiligingssoftware, en dat lukt maar al te vaak helaas. Hoe meer standaard een beveiligingssoftware is, hoe vaker een malware de zwakke plekken zal kennen en hem snel om zeep zal kunnen brengen. In principe kun je dus niet op standaard aanwezige programma's vertrouwen tenzij ze zeer regelmatig geupdate worden.

De hoofdreden dat je toch veel veiliger bent met een Linux desktop is een andere: Voor Linux wordt nauwelijks desktop-gerichte malware gemaakt omdat Linux desktops maar een heel klein deel van de markt uitmaken. Malware maken kost tijd en energie en wordt tegenwoordig vaak met winstoogmerk gedaan. De maker heeft ook steeds vaker kosten: die exploits zijn ook niet gratis meer, daar moet gewoon voor betaald worden. Dan kies je natuurlijk voor een platform met voldoende verspreiding, dus meestal Windows.
Onder Linux ben je redelijk safe als je alleen de officiŽle repositories gebruikt. Echter kun je altijd te maken hebben met kwaadwillenden die te dicht bij de bron zitten. Als je Ubuntu als voorbeeld neemt, die heeft veel te veel packages om alles zelf bij te houden, daarom heeft iedere package een maintainer. Als die maintainer er geen zin meer in heeft, zelf een trojan in z'n package stopt en released met zijn signature wordt het gewoon netjes als update geÔnstalleerd. Het zal wel weer eens opgemerkt worden, de package gedelete en de maintainer geblacklist, maar ondertussen staat de package al op een hoop systemen.
Het probleem in ieder systeem is dat je *ergens* in moet vertrouwen. Om te beginnen uiteraard de maker van je OS. Maar zelfs als je van source bouwt moet je alsnog die source vertrouwen, en niemand heeft tijd genoeg om alle source zelf door te spitten. Uiteindelijk wordt alles door mensen gemaakt. In ieder OS kan een van de programmeurs ook zelf een hidden exploit hebben gebakken. Dat weet je niet, totdat het misbruikt wordt. Denk bv aan een buffer overflow die iemand expres "vergeet" te dichten, hoe ga je dat ooit detecteren?
Maar dit is allemaal OS onafhankelijk en kan zowel in closed als open source voorkomen (een hoop bugs zijn onzichtbaar, ook als je de code voor je hebt), en alhoewel ik Windows zeker geen fijn OS vind om mee te werken en normaal de eerste ben die het afzeikt, vind ik het zeker niet terecht om nu maar op Windows te gaan lopen katten omdat er een bug in zit. Het had ieder OS kunnen overkomen.
Is er uberhaupt wel iemand die deze bug bevestigd heeft uit eigen hand want ik lees alleen maar herkauwde berichten van dat wit-russische bedrijfje.
Hij is bevestigd, ook Microsoft heeft hem zelf gemeld op hun site van het Malware Protection Center: http://www.microsoft.com/...&ThreatID=-2147331492

Maar hij word al sinds 7 juli door MS Security Essentials herkend en geblokkeerd, en ik neem aan dat de meeste 3rd party scanners inmiddels ook wel detectie ervoor hebben.

Ik denk dus niet dat hij nu nog heel erg zal gaan verspreiden, hooguit voor die enkeling die zonder virusscanner draait, maar ik mag toch aannemen dat dat er in 2010 niet al teveel meer zullen zijn, iig niet op een PC die aan Internet hangt.
Daarmee is het bestaan van de trojandropper met rootkit bevestigd maar de zero day besmettingsmethode is vooral relevant.
Trojan droppers bestaan er honderduizenden van en dat het bestaan daarvan bevestigd is zegt vrijwel niks omdat die ook zonder zero day geinstalleerd kunnen worden.

Het gaat natuurlijk om die zero-day bug waarvan geclaimd wordt dat die ook op W7 zou werken.

[Reactie gewijzigd door hAl op 16 juli 2010 16:15]

Zie ook http://twitter.com/msftsecresponse/status/18646855973, Microsoft is nog steeds bezig met onderzoeken van het probleem
Ik hoop dat ze snel met een fix komen en niet met een 1 of andere lullige melding dat je op een bepaalde manier naar je systeem moet kijken omdat er dan geen probleem is en alles super goed werkt.
Achja ze zijn nog niet zo erg met oplossingen als apple met hun iphone 4 :+
iedereen is hier bezig over windows en MS. Maar men zou zich beter afvragen wat de verantwoordelijkheid is van RealTec. Hun certificaat is (mis)(ge)bruikt.

Precies om dit soort zaken te voorkomen moeten drivers gesigned worden. Maar als fabrikanten laks omspringen met hun certificaat ja... wie is er dan in fout?
MS is fout, want dat hele driver signing is een onzinnig proces. Als je signed drivers wilt moet je flink dokken, dus een hoop fabrikanten brengen geen signed drivers uit. HIerdoor vinden gebruikers het normaal om een popup met een vage melding weg te klikken en wordt iedere driver toch wel geinstalleerd, signed of niet. En blijkbaar werkt het niet eens, want het kan blijkbaar zelfs nog misbruikt worden ook. Ze hadden dat hele driver signing moeten laten zitten. Linux en Apple hebben het toch ook niet nodig?
Driver signing is imho alleen bedoeld om extra omzet voor MS te genereren.
Driver signing is imho alleen bedoeld om extra omzet voor MS te genereren.
Driver signing is bedoeld zodat MS kan filteren op de kwaliteit v/d drivers, zodat we niet meer gevallen krijgen zoals printer drivers die buiten de daarvoor bestemde APIs om werken mbv exploits (HP was het, toch?) of zwaar instabiele drivers die dicht op de kernel leven met een hoog risico het systeem neer te halen.

Allemaal zaken waarvoor MS in het verleden vaak de zwarte piet toegespeeld hebben gekregen. Wat betreft die extra omzet: wat denk je dat het voor MS kost om die drivers na te lopen? Wat denk je dat fabrikanten zouden doen als het, zeg, een $ 100,- per certificering zou kosten? Da's goedkoop debuggen/testen, zeg!

Er zijn dus kosten om het onderzoek te dekken en om een drempel op te werpen zodat driver signing ook door fabrikanten serieus genomen zou worden. Jammergenoeg zagen de fabrikanten dat anders en hebben ze voor een groot deel het driver signing programma links laten liggen, juist omdat meedoen geld kost.

Dus wie wilde er nu extra poen verdienen/overhouden? Juist ja!

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Games Apple Politiek en recht Consoles Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013