Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Submitter: cowbalt

Onderzoekers van beveiligingsbedrijf Check Point hebben een methode gevonden waarmee aanvallers via een plaatje op Facebook malware op computers kunnen installeren. De aanval werkt via een hta-bestand dat verstopt zit in de afbeelding.

Het is onbekend hoe de exploit precies werkt, want Check Point wil de details van 'ImageGate' vooralsnog niet vrijgeven. De exploit vereist wel een aantal klikken van mogelijke slachtoffers. Zodra Facebook-gebruikers een geïnfecteerd plaatje aanklikken, geeft de browser de melding dat de site een hta-bestand wil downloaden. Dat is een html-applicatie in een door Microsoft gepatenteerd formaat.

Als gebruikers het hta-bestand downloaden en openklikken, kunnen aanvallers de daarin verstopte malware installeren. Check Point heeft als voorbeeld ransomware gebruikt. Niet alleen Facebook, maar ook LinkedIn lijkt vatbaar voor de aanval.

Het lijkt er nog niet op dat deze exploit in het wild wordt misbruikt. Check Point maakt alle details bekend zodra de kwetsbare sites het lek hebben verholpen. Wanneer dat is, is op dit moment onbekend.

Moderatie-faq Wijzig weergave

Reacties (47)

Als het door een plaatje te openen valt, dan kan het toch overal op het internet toegepast worden - en niet alleen op Facebook en LinkedIn? (Dan is 't namelijk sensatie zoeken. :P)
Het is even wachten op de details waarom die zo speciaal zouden zijn, I guess. :)

[Reactie gewijzigd door WhatsappHack op 24 november 2016 16:46]

Afhankelijk van hoe Facebook met de plaatjes omgaat. Het zal geen nieuws zijn dat je in plaatjes een bestand kan verstoppen. Als Facebook dan op ongewone wijze met deze 'metadata' omgaat en deze dan ter download aanbiedt, dan zou het zomaar Facebook only kunnen zijn.
Nee dat dat mogelijk is, dat is nog ouder dan het internet zullen we maar zeggen. Altijd al gelazer geweest dat er shit in plaatjes werd gestopt.
Het kan inderdaad zijn dat zo'n plaatje precies iets goeds in de facebook code voor elkaar krijgt of zich daar in weet te mengen, uiteraard - alleen dan zou het wel raar zijn als LinkedIn toevallig exact dezelfde code gebruikt. :P

Vandaar maar ff kijken wat er nou werkelijk aan de hand is. ;)
zo'n plaatje kan zich denk niet in de code van facebook mengen gezien het gewoon los gedownload word/verwerkt word, het injecteert niets in de code maar word slechts "ge embedd" in de pagina (ingesloten in een frame)
Sweet memories :)
Ik herinner me nog de afbeelding van een drinkbeker die vervolgens je CD speler open liet springen. (de bekerhouder :+ )
ik denk dat een beetje basis "image optimalizer" alle "onnodige" data eraf stript (dus ook hta over het algemeen) waardoor dit dus niet meer werkt ;)

Al weet ik de exacte details ook niet, en hta is mij volledig onbekend moet ik eerlijk bekennen.
Klopt, het is ook gewoon sensationeel maken door facebook te benoemen terwijl het gewoon overall werkt.
Een beetje (grote) site stript alle rare zooi uit een plaatje voordat het aan de gebruiker word getoond (vaak onbewust, dit is een bijkomend resultaat van plaatjes verkleinen met bijv imagemagic etc) maar bij facebook gebeurd dit blijkbaar niet (voldoende?) Ze hebben zeer waarschijnlijk eigen software voor het verwerken van plaatjes (dus geen gd/im) waar misschien nog wat haken en ogen aan zitten
hoezo is dit nieuw? https://github.com/codecrack3/HTA-Exploit-

Update: Automatische URL verwijderde laatste -

[Reactie gewijzigd door hawkeye73 op 24 november 2016 17:30]

Het is simpel Checkpoint heeft mensen in dienst die nieuws maken over mogelijke exploits, vaak met herkenbare termen als FaceBook, Randsome-Ware etc.. Daarna verkopen ze software uit om deze super ernstige exploit te verkopen

Voorbeeld:
http://blog.checkpoint.co...7/quadrooter/t.quadrooter
https://play.google.com/s...com.checkpoint.quadrooter
Je linkt naar 404 pagina ;)
Link is idd 404, dat komt omdat er een - mist in de echte link, dit is m:
github.com/codecrack3/HTA-Exploit-
Nee, de link wordt door Tweakers zo geïnterpreteerd. ;)
Dat streepje op het einde wordt niet gezien als onderdeel van de link.

https://github.com/codecrack3/HTA-Exploit-
Zo wel. :)

[Reactie gewijzigd door WhatsappHack op 24 november 2016 16:43]

404 This is not the web page you are looking for.

Dit is een artikel van 21/08/2015 die verwijst naar die github: http://seclist.us/hta-exp...emote-code-execution.html

[Reactie gewijzigd door biglia op 24 november 2016 16:40]

Dit werkt uiteraard alleen op Windows, met die HTA files.
Ik denk niet dat dat uitmaakt als jij malware gaat verspreiden. WIndows heeft genoeg gebruikers die deze bestanden delen en daarmee andere gebruikers infecteren.

Wederom is bewezen dat Facebook het anders moet aanpakken met berichten en beveiliging
Zoals ook in het artikel staat, gaat het niet alleen om Facebook. Ook Linkedin is vatbaar voor deze aanval.
En ja, omdat Windows veel gebruikers heeft, is het risico groot.
Poeh, wat een gedoe zeg. Alsnog denk ik dat het ernstiger is bij Facebook omdat:

1 Meer mensen gebruiken het.
2 Mark Zuckerberg heeft genoeg geld tot zijn besteding en zou er ook rekening mee moeten houden tegen alle soorten malware.

Daar komt bij dat je minder vaak bestanden opent op LinkedIn dan op Facebook.

Maar goed, het kan ook zijn dat ze bij Facebook überhaupt niets wisten van dit soort type verspreiding en malware.
zodra je die foto toont in je browser is het leed al gedaan, dan is de foto/plaatje al verwerkt door je browser, met daarbij dus het stukje hta code wat erin verstopt zit/zat
Dat maakt wel degelijk uit aangezien het gros van de facebook-gebruikers de site alleen op hun telefoon gebruikt, en niet op een computer.
Wat zou er gebeuren wanneer FB standaard alle afbeeldingen gaat converteren (desnoods naar hetzelfde formaat)? Zou dit ervoor zorgen dat dit soort dingen afgevangen worden?
Volgens mij past Facebook al verschrikkelijke compressie toe op foto's, dus het verbaast me dat er uberhaupt nog originele foto's doorkomen. :P
converteren haalt niet altijd metadata (waar hta ook onder valt volgensmij) eraf, het verandert slechts de eigenschappen van de foto, maar niet de data daaromheen. Compressie is daar weer een andere factor in, waarbij vaak alle metadata eraf gestript word gezien dat in web toepassingen vaak onnodige belasting is. (en een negatieve score vanuit google SEO hoek geeft)
nouja, je kunt ook duidelijk zien dat het niet een img file is. :P
Probeer dat maar eens uit te leggen aan sommig IT-leken. DIe denken dat een .hta bestand een andere vorm van een image is dan bv: png of jpg...
als ze überhaupt weten wat een extensie is
Vast niet, sinds ze vast WIndows gebruiken, en Windows al jaaaaren die extensie by default verbergen.
Windows gebruikers ook niet, je kan altijd "openen met". Maar dat is natuurlijk niet stoer om te roepen.
Mac OS classic had zelfs een veldje om aan te geven wat voor bestandssoort het it.
BeOS slaat het MIME type per bestand op.
Ik kan me zo voorstellen dat het op andere websites ook werkt. Hoeveel sites hebben geen afbeeldingen staan waar je op kunt klikken om ze te bekijken of te vergroten. Even afhankelijk van hoe de .hta file wordt aangeboden om te downloaden bij een klik op de afbeelding, zal het dus wel op meer sites werken.
Maar op Facebook en LinkedIn worden veel afbeeldingen gedeeld worden, dus heb je sowieso meer kans dat mensen klikken.

En dan nog. Je moet op de afbeelding klikken en je krijgt een popup om een .hta bestand te downloaden. En vervolgens moet je het .hta bestand ook nog eens uitvoeren.
Simpele regel toch, als er iets gebeurd wat je niet verwacht (download bestand bij klik op afbeelding), of als je een extensie niet herkent, niet uitvoeren. Scheelt een hoop ellende.
Ik kan mij van jaren geleden nog wel herinneren dat men javascript in plaatjes kon stoppen die, ondanks dat de server aangaf dat het mimetype jpg was, toch door Internet Explorer als javascript werden aangezien. Heel gevaarlijk dus op alle sites waar gebruikers zelf jpg's kunnen uploaden/embedden, dus vrijwel ieder forum.

Nog even gezocht:
nieuws: XSS-exploit door Microsoft betiteld als 'by design'

De bug in dit artikel klinkt redelijk vergelijkbaar.
Dus als ik HTA files standaard laat openen met Notepad, dan is er weinig aan de hand gok ik?
Als ik zo'n pop-up zie dan weet ik al meteen dat het niet goed zit, dus mij zullen ze niet zo snel te grazen nemen.


Om te kunnen reageren moet je ingelogd zijn



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True