Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft brengt update Defender uit voor verwijderen SuperFish

Door , 78 reacties, submitter: Loller1

Microsoft heeft vrijdag een update voor zijn anti-malwareprogramma Windows Defender uitgebracht zodat het SuperFish kan verwijderen. Die malware leverde Lenovo standaard op zijn laptops mee en kwam deze week in het nieuws vanwege kwetsbaarheden.

Beveiligingsonderzoeker Filippo Valsorda ontdekte dat Microsoft Windows Defender van definities heeft voorzien om SuperFish te herkennen en te verwijderen. Dit betekent dat alle Lenovogebruikers die Defender hebben ingeschakeld in Windows, nu zijn beschermd tegen de malware.

Voor zover bekend biedt Microsoft als eerste anti-malwarefabrikant een oplossing tegen SuperFish. Overigens tekent Valsorda aan dat de update niet helemaal perfect is. Het certificaat voor Firefox blijft namelijk nog intact, zo twittert hij. Mozilla moet daarvoor nog met een fix komen. Het certificaat kan wel handmatig worden verwijderd; Lenovo heeft daarvoor instructies online gezet.

Vorige maand werd duidelijk dat Lenovo de SuperFish-adware op zijn laptops plaatste. De software draait op de achtergrond en injecteert advertenties in websites met pop-ups van productafbeeldingen. De fabrikant beweerde dat de adware 'gebruikers helpt producten te vinden en te ontdekken zonder dat ze weten hoe een product heet of hoe ze het moeten omschrijven in een tekstgebaseerde zoekmachine'.

De malware bleek te zorgen voor een ernstig beveiligingsprobleem, zo werd donderdag bekend. Om advertenties in https-sites te injecteren, gebruikte SuperFish namelijk een vervalst rootcertificaat. Aanvallers kunnen dat misbruiken om een vals certificaat te injecteren in een ssl-verbinding om zo de verbinding af te luisteren. Daarvoor moeten ze wel eerst de controle hebben over de internetverbinding van een getroffen Lenovo-klant.

Gebruikers zijn nooit in gevaar geweest door de SuperFish-malware, die werd meegeleverd met meerdere Lenovo-laptops. Dat zei het bedrijf achter de malware vrijdag in een verklaring. Toch staat die bewering haaks op de bevindingen van beveiligingsexperts. Lenovo belooft dat het binnen enkele dagen met een tool komt om alle sporen van de malware te wissen. De fabrikant stopte in januari al met de levering van de malware.

Door Yoeri Nijs

Nieuwsposter

20-02-2015 • 19:56

78 Linkedin Google+

Submitter: Loller1

Reacties (78)

Wijzig sortering
En Lenovo maar zeggen dat er geen gevaar is.

Ondertussen maakt MS een update om het te verwijderen.
Even afgezien van het feit dat het ook gewoon hele goede pr is voor MS.
Het blijft toch, omdat ze er zo heel snel iets aan gedaan hebben, een indicatie van de ernst van de "besmetting".

Ze hebben er toch resources tegenaan moeten gooien en dat is niet gratis.

Jammer dat ze niet ook even de mozilla fans helpen.
- Evengoed grote pluim voor Microsoft

[Reactie gewijzigd door Gucky66 op 20 februari 2015 20:27]

Lenovo geeft zelf nu ook toe dat het een gevaar is.
Lenovo Security Advisory: LEN-2015-010
Potential Impact: Man-in-the-Middle Attack
Severity: High

[Reactie gewijzigd door Blaise op 20 februari 2015 20:21]

Dat is vreemd, gezien hetzelfde bedrijf expliciet het tegenovergestelde claimt: nieuws: Maker Lenovo-malware: gebruikers waren niet kwetsbaar

Echter zouden de gedupeerde een excuus mogen verwachten, dat Lenovo service aanbied om het te verwijderen (Lenovo installeerde het, Lenovo mag het verwijderen), en dat het bedrijf nooit meer een hijack tool zal installeren (in http://support.lenovo.com/us/en/product_security/superfish hebben ze dat niet expliciet vermeld, alleen omtrent Superfish). Begrijp wel; Lenovo was hier waarschijnlijk illegaal bezig. En ook al zou het niet illegaal zijn, dan toch is het niet netjes. En dat MS zelfs speciaal met een update komt om het te verwijderen, betekent in ieder geval dat MS hier ook niet van gediend is. Wat logisch is gezien het zeker de Windows gebruikerservaring aantast.

Edit: Moet er ook bij zeggen dat er derden nodig waren die het beveiligingsprobleem aan het licht brachten, en niet Lenovo. Lenovo loopt achter de feiten aan.

[Reactie gewijzigd door PostHEX op 20 februari 2015 20:48]

De linkerhand weet ook niet altijd wat rechterhand doet bij grote bedrijven. Volgens mij is de modus operandi van de meeste bedrijven ook om slecht nieuws eerst proberen te downplayen ;)
Terwijl ik een bedrijf mee ga respecteren als ze dat niet doen. Eerst zo snel mogelijk de ernst van een situatie inschatten en daarna open communiceren. En ik zal vas tniet de enige zijn die dat vindt.
Ik kan me hier alleen maar bij aansluiten. Het feit dat de maker van SuperFish zegt dat het geen malware is, doet mij vermoeden dat ze het ook op die manier bij Lenovo binnen hebben gesluist. Dat zal de reden zijn dat het in eerste instantie op de laptops meegeleverd werd. Wmb is daar, buiten de standaard bezwaren tegen voorgeinstalleerde bloatware, niet zoveel mis mee.

Toen bleek dat het inderdaad een dikke security hole was, had Lenovo NOOIT mogen zeggen dat het allemaal wel meeviel en dat het geen malware was, maar dat ze de zaak gingen onderzoeken en later met een statement zouden komen. Het feit dat ze dat wel deden is, voor mij persoonlijk, gewoon imago suicide. Het gooit alle vertrouwen in het merk overboord.
Lees de titel nog eens goed, Lenovo is niet de MAKER van SuperFish.
Hier is waar het mij om ging toen ik naar nieuws: Maker Lenovo-malware: gebruikers waren niet kwetsbaar linkte.
In een interview met The Wall Street Journal biedt Lenovo-cto Peter Hortensius weliswaar zijn excuses aan voor het plaatsen van de malware op verschillende laptops, maar ook hij zegt dat er geen bewijs is dat de 'theoretische bezwaren' van beveiligingsonderzoekers voor concrete problemen zorgden. "Voor zover wij weten is er geen misbruik van gemaakt", aldus Hortensius.
Zegt hij ook niet. En is ook niet relevant.
Lenovo is de leverancier en installateur.

Als ik ergens een bom plaats kan mijn verweer ook niet zijn dat ik die niet gemaakt heb.
Het lijkt mij eerder riskware, dat anderen weer kunnen misbruiken. Je weet niet hoe de software van Lenevo in elkaar gezet is en of het betrouwbaar is, ook al zou het niets schadelijks doen.
Kwam het net ook tegen.
Dank, scheelt mij weer een edit.
Persoonlijk vind ik eigenlijk dat microsoft zich er nog lang buiten heeft gehouden.

Je zou haast denken dat microsoft na de eerdere melding dat lenovo laptops met mallware verspreidde zelf er toch wel naar gekeken zou hebben en als maker van het OS waar het op draait ook zou moeten hebben kunnen constateren dat het een gevaar was.
Imho heeft Microsoft zelfs wel een steekje laten vallen door iets waar toch toen wel al veel ophef over was niet zelf ook onder handen te nemen.

Uiteraard willen ze een grote klant (Lenovo) niet kwijt, maar als maker van een OS wil je toch niet dat mensen die jouw OS gebruiken risico lopen en jouw OS met malware word verspreid?
Mee eens, tot op zekere hoogte.
Microsoft heeft mogelijk gewacht met reageren. Juist omdat Lenovo een "goede" klant is.

Aan de andere kant. De andere malware programma's hebben ook nog niet gereageerd. Misschien is het allemaal wel niet zo simpel als we aannemen.
MS is de eerste maker van antimalware paketten die Superfish als dusdanig aanmerkt, nog voor de echt grote jongens als Norton end McAfee, waar security de core business is... En nog is het niet goed genoeg? Daarbij ook nog in gedachten houdend dat MS in dit hele verhaal geen actieve speler is geweest en dit gewoon been probleem van Lenovo was... :/
Best grappig? ja?
Ads staan echter uit op mijn mobiel en daar bekijk ik dit nu op.
Jammer dat ze niet ook even de mozilla fans helpen.
Er was ooit een firefox plugin voor .NET die ongevraagd met een microsoft update werd geïnstalleerd. Daar waren veel mensen niet blij mee. Terecht blijven ze met hun vingers van 3rd party software af nu.

Mozilla zal zijn eigen oplossing brengen, grappig dat M$ ze dit keer verslaat in reactietijd ;-)
Zo'n snelle reactie heb ik tot nu toe nergens anders gezien. Netjes gedaan van Microsoft.
anderen antivirussen verwijderen meestal ook geen ad-ware, kijk maar naar de ask-toolbar, die word ook door de meeste antivirussen niet verwijdert,
programmas zoals ad-aware en malwarebytes verwijderden superfish al voor het op lenovo laptops pre-installed kwam
Het is dan ook een supermakkelijke fix.
En toch is Microsoft de eerste die hier mee komt. En momenteel ook nog de enige. Niet degene die hier wat aan had moeten doen, Lenovo.
malwarebytes en ad-aware doen dit al veel langer
Overigens tekent Valsorda aan dat de update niet helemaal perfect is. Het certificaat voor Firefox blijft namelijk nog intact, zo twittert hij. Mozilla moet daarvoor nog met een fix komen.

Is het een taak van een antivirusprogramma om certificaten te verwijderen? Dat vind ik wel wat ver gaan.
Ik weet eigenlijk niet of ik het wel goed zou vinden als Microsoft wijzigingen zou aanbrengen in het certificaatbeheer van Mozilla.

[Reactie gewijzigd door Kalief op 20 februari 2015 20:44]

Firefox gebruikt een eigen trusted CA certificate list, niet die van Windows (of OS X keychain, etc). De verantwoordelijkheid voor de fix lijkt me dan eigenlijk ook voor Mozilla.
Zat ik ook mee. Weet ook niet of MS zomaar bij de certificaten mag en kan komen.
-- Maar ze hadden een waarschuwing kunnen plaatsen zodra er mozilla elementen en superfish zijn gedetecteerd.

Of doen ze dat? Weet iemand dat?
Vraag: Als mensen die de adware zelf al verwijdert hadden, doet Defender/MSSE dan ook het achtergebleven cert verwijderen? Ik neem aan van wel?

Ik denk namelijk dat er best veel mensen zijn die zelf al dat soort zooi van hun PC kunnen verwijderen, maar geen weet hebben van het cert.

UPDATE: Zie hier de officiele pagina van de malware:

https://www.microsoft.com...2%2fCompromisedCert#tab=1

(Ten tijde van mijn posting nog geen confirmatie dat het ook hetc ert verwijdert als het programma afwezig is, maar de naam van de malware doet vermoeden dat dat wel zo is.)

[Reactie gewijzigd door Armin op 20 februari 2015 20:14]

Vraag: Als mensen die de adware zelf al verwijdert hadden, doet Defender/MSSE dan ook het achtergebleven cert verwijderen? Ik neem aan van wel?
[...]
(Ten tijde van mijn posting nog geen confirmatie dat het ook hetc ert verwijdert als het programma afwezig is, maar de naam van de malware doet vermoeden dat dat wel zo is.)
Staat er toch :?
...will detect and remove Superfish AND the system cert
En idem in de pastebin link:
regkey:HKLM\software\microsoft\SystemCertificates\ROOT\Certificates\C864484869D41D2B0D32319C5A62F9315AAF2CBD\\Blob
Er is één uitzondering:
Het certificaat voor Firefox blijft namelijk nog intact,

[Reactie gewijzigd door RobIII op 20 februari 2015 23:43]

Niet noodzakelijk.

De vraag is namelijk niet of het zowel de tool als het cert dedecteerd, maar of het het cert ook dedecteerd als de tool er reeds al niet meer is.

Dat staat nergens bevestigd, zelfs niet in het door jouw geciteerde bericht van die twitteraar (iets wat ik uberhaupt niet als authoriteit zou aannemen 8)7 ). Die engelse zin is qua logica namelijk op verschillende wijze te interpreteren en het is bovendien twitter alwaar mensen doorgaans niet erg accuraat zijn in hun woordgebruik.

Ik denk overigens van wel gezien de naam van de kwetsbaarheid die men eraan gegeven heeft, maar zie dat graag bevestigd door Microsoft.
Dat staat nergens bevestigd, zelfs niet in het door jouw geciteerde bericht van die twitteraar (iets wat ik uberhaupt niet als authoriteit zou aannemen 8)7 ).
Natuurlijk is diegene geen autoriteit, maar wel degene die het vroeg (ik zal niet zeggen "als eerste" want dan gaan we daar weer over muggeziften) opmerkte en het meldde ("wereldkundig maakte"). Daarbij nam diegene de moeite screenshots te nemen en een dump te maken van wat er (ja, ja, naar zijn zeggen, dus niet 100% zeker weten nee) verwijderd wordt.

Zolang MS niets bevestigd op hun pagina kun je alleen maar je eigen oordeel gebruiken (installeer effe Superfish zou ik zeggen...) en kijken wat er daadwerkelijk gebeurt. Tot die tijd mag je, als alternatief, ook even aannemen dat die tweet (en de honderden bevestigingen erover) redelijk betrouwbaar zijn.

Een beetje antivirus zoekt niet naar "complete programma's" zoals: "Hee, ik zie dit-en-dat virus/malware, nou dan zal er ook vast zus-en-zoiets op het systeem staan". Dus als dat certificaat aanwezig is, los van de rest van de rotzooi, dan mag je er (ja, ja, aanname) toch wel aardig van uit gaan dat die gedetecteerd & verwijderd wordt.

En tot die tijd kijk je gewoon effe lekker de kat uit de boom (of: als je getroffen bent controleer je het handmatig) en wacht je op je bevestiging van MS ;)

Oh; en een ander punt: ondanks dat het cert. ongewenst en gevaarlijk is: zonder Superfish zal 't niet heel veel schade (nog) aanrichten gezien de MitM niet meer plaatsvindt omdat Superfish er niet meer is. Dus al zou 't 'alleenstaand' in je systeem staan; het moet eruit en weg, maar is een stuk minder gevaarlijk (nog, totdat een andere 'slimmerik' het weet uit te buiten).

[Reactie gewijzigd door RobIII op 20 februari 2015 23:57]

Dus als dat certificaat aanwezig is, los van de rest van de rotzooi, dan mag je er (ja, ja, aanname) toch wel aardig van uit gaan dat die gedetecteerd & verwijderd wordt.

Tegel wijsheid O-)

Oh; en een ander punt: ondanks dat het cert. ongewenst en gevaarlijk is: zonder Superfish zal 't niet heel veel schade (nog) aanrichten gezien de MitM niet meer plaatsvindt omdat Superfish er niet meer is.

Dan begrijp je het gevaar dus niet! Dankzij dit certificaat kan IEDEREEN een MITM aanval uitvoeren op jouw PC. Tenminste als ze toegang tot jouw netwerk hebben. Denk aan de WiFi van je favoriete cafe, valse hotspot, etc etc.
Inderdaad, het is mogelijk dat anderen gebruik maken van het CA certificaat als die er nog is. Het enige wat je verwijderd als je de software verwijderd is de injecties met dat cert van SuperFish en niet van anderen
Ik heb zelf ook een Lenovo laptop, en heb veel troep weggegooid. Maar ik wist niks van die certificaat af, ook nooit opgevallen.. Even scannen met MS Defender
Helaas dat diezelfde mensen die deze software op hun laptop/pc hebben staan, ook standaard een meegeleverde versie van McAfee hebben draaien (en Defender dus uit staat). :P
Maar ook die zullen wel snel met een cleanup tool komen.
Je zou je beginnen afvragen wat McAfee de hele tijd heeft gedaan. Zij waren in principe de eerste die hier iets hadden tegen kunnen doen buiten Lenovo om, die sowieso al niet dit soort software had moeten plaatsen op hun apparaten.
Ehm, het is niet alsof McAfee een exemplaar krijgt van elke laptop waarop hun product wordt meegeleverd, zodat ze die binnenstebuiten kunnen keren op zoek naar door de fabrikant meegeleverde malware... (Als je die zin uitermate vreemd vindt klinken: ja, daarom dus.)

Het is niet alsof McAfee een betere kans heeft om dit ding te detecteren omdat er heel veel machines zijn waar ze samen op staan; zodra er één machine is met de malware en met virusscanner X (met ingebouwde heuristic scanner), dan zou die alarm kunnen slaan (en de sample terugsturen voor verdere analyse). Een stortvloed aan duplicaten helpt hooguit om het wat meer prioriteit te geven, niet om de kans op detectie te verhogen.

De reden dat McAfee niet eerder heeft gereageerd is precies hetzelfde als waarom MS "nu pas" (en de andere leveranciers, binnenkort) met detectie-regels komen: je moet eerst weten dat malware bestaat, voordat je ernaar kunt scannen.


@Loller hieronder:
Controleren of er geen Symantec op staat doet iemand van PR, controleren of er geen malware op staat zou een taak zijn voor iemand van het team dat nieuwe malware analyseert. Nogal een verschil.

[Reactie gewijzigd door robvanwijk op 21 februari 2015 00:07]

Ehm, het is niet alsof McAfee een exemplaar krijgt van elke laptop waarop hun product wordt meegeleverd, zodat ze die binnenstebuiten kunnen keren op zoek naar door de fabrikant meegeleverde malware... (Als je die zin uitermate vreemd vindt klinken: ja, daarom dus.)
Ik twijfel ten strengste eraan dat niemand bij McAfee een laptop heeft bekeken die zij zelf sponsorren. Iemand moet controleren dat er geen software opstaat die in conflict is met McAfee's voorwaarden voor die sponsoring.
Ik denk dat je gewoon een OEM contract afsluit met McAfee (met inderdaad bepaalde voorwaarden). Maar het is denk ik meer de afspraak 'ja ik accepteer jullie AV" in plaats van Lenovo die alle software die meegeleverd wordt naar McAfee toestuurt ter controle.
Hoezo? mcafee is geen adware removal programma... en tot voor kort waren de gevolgen van superfish nog niet helemaal duidelijk.. na aanleiding van MS zal mcafee en waarschijnlijk alle andere antivirus bedrijven ook wel met een update komen om superfish te verwijderen.. In feite kan superfish nu dus wel opdoeken LOL...
Dat niet alleen. Mcafee presteert ook zwaar ondermaats, dus zelfs als het een virus was ipv adware, was het waarschijnlijk vrolijk blijven staan.
Ik heb al heel lang geen mcafee meer gehad, maar mijn ervaring met virusscanners is dat het compleet qua kwaliteit kan verschillen per versie/update, dus een versie die vandaag de beste is, kan morgen de slechtste zijn en andersom. Er is simpelweg GEEN antivirus die altijd de beste is (tuurlijk gaan nu enkele tweakers dit tegenspreken omdat zij vinden dat de versie die zij draaien altijd de beste is......)
Inderdaad zeg..
Dat McAfee dergelijk troep laat staan op je PC..
Zou wel om te gillen zijn als de ene voorgeinstalleerde reclame de andere voorgeinstalleerde reclame zou verwijderen ... _/-\o_
Zijn er ook al andere AVs die dit al kunnen opruimen, of is Microsoft hier nog maar de enige in?

Nog een andere vraag: wordt dit ook verwijdert uit de recovery partitie?

[Reactie gewijzigd door Loller1 op 20 februari 2015 20:15]

Dat doet Windows Defender dus (ook) voor je (behalve het certificaat voor een eventueel aanwezige Firefox).
Zeer nette actie van microsoft!
Ik vind het vooral een zeer snelle reactie...
Pluspuntje voor hun!
't is ook geen patch voor een eigen bug maar een update voor hun anti-malware tool O-)
enigst probleem voor de mensen die een andere virus-scanner hebben, dan word windows defender uitgeschakeld.

hierdoor moeten zij dit handmatig inschakelen
Of mensen die totaal niet geïnformeerd zijn met hun Pc's (of wat dan ook). Dat hou je toch, toch?.
Je zou ook dit kunnen doen of mensen adviseren:

"Windows Defender Offline"
http://windows.microsoft....-windows-defender-offline

"To use Windows Defender Offline, you need to follow four basic steps:
1) Download Windows Defender Offline and create a CD, DVD, or USB flash drive.
2) Restart your PC using the Windows Defender Offline media.
3) Scan your PC for malicious and other potentially unwanted software.
4) Remove any malware that is found from your PC.
"
Daar zal Microsoft niet blij mee zijn, troep opruimen van een ander.

Gelukkig komen ze met die update, veel mensen weten niet eens van deze malware of hoe deze te verwijderen.
Over het algemeen zijn AVs gemaakt om troep van andere op te ruimen, dus in die definitie is er niet veel anders. Ander verhaal wordt het als Microsoft natuurlijk troep van zijn partners moet gaan opruimen, daar zullen ze inderdaad niet mee kunnen lachen.
MS is het denk ik wel gewent troep van zijn partners te moeten opruimen. Bedenk maar eens dat de meeste "haat" jegens MS niet eens door MS zelf komt maar hun partners :)
Top Microsoft! Laten we hopen dat dit veel Lenovo gebruikers aan het denken zet. En die reactie van Lenovo "Gebruikers zijn nooit in gevaar geweest door de SuperFish-malware, die werd meegeleverd met meerdere Lenovo-laptops. "
Nee de gebruikers zijn niet persoonlijk bedreigd, alleen is mogelijk ff wat van hun administratie of digital footprint voor de copy copy chineesjes wel erg makkelijk toegankelijk geweest, ga je schamen.

Help regelmatig mensen op de pc, en krijg voldoende de vraag om advies als er een vervangende pc/laptop gezocht wordt. Ik wijs ook wel eens een apparaat af, duidelijk alle Lenovo's staan bij mij de komende 3 jaar op de blacklist.

[Reactie gewijzigd door Vermeulen op 20 februari 2015 20:28]

Zeer goede zaak. Lenovo is blijkbaar gewoon te incapabel om in te zien dat dit pure malware is. Go Microsoft!

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*