Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

Daags nadat softwarefabrikant Adobe een fix voor een kritiek lek in zijn Acrobat-software heeft gedicht, proberen aanvallers via mails met besmette pdf-bijlagen nieuwe slachtoffers te maken.

De pdf's met malware, die luistert de naam Trojan.Pidief.A, worden rondgestuurd per mail. Na infectie tracht de malware de beveiligingsinstellingen van de Windows-computer te verlagen, onder meer door via het 'netsh firewall set opmode mode=disable'-commando de firewall van Windows uit te schakelen. Als dat lukt, downloadt de malware een mass downloader, zo waarschuwt Symantec.

Pdf-bestanden zijn een tijd favoriet geweest bij aandelenspammers om hun commerciële boodschappen te verspreiden. Veel spamfilters kunnen de inhoud van pdf-bestanden niet scannen, waardoor de kans toeneemt dat de boodschap bij de ontvanger in de inbox belandt.

Volgens het SANS Institute betreft de code die nu in het wild is ontdekt een proof of concept. Dit is veelal een voorbode van nieuwe golven van aanvallen die hierop gebaseerd zullen zijn. Die patch voor het lek, dat volgens Symantec alleen gevaarlijk is voor gebruikers van Windows XP met IE7 en dat voorkomt in Adobe Reader, Adobe Acrobat en Adobe 3D, werd door Adobe maandag vrijgegeven. SANS adviseert dan ook om de patch die Adobe eerder al introduceerde, te installeren.

In juli ontstond al opschudding toen bleek dat uri's vaak ongecontroleerd doorgegeven werden aan andere programma's, waarna die applicaties de ontvangen adressen konden verwerken zonder ze te controleren. Ook de kwaadaardige pdf maakt misbruik van het omstreden uri-lek (via mailto:), dat in Windows XP en Windows Server 2003 in combinatie met IE7 voorkomt.

Moderatie-faq Wijzig weergave

Reacties (34)

Het commando dat ze gebruiken behoort netjes een "Toegang geweigerd" reactie van je Windows XP op te leveren, bij mij wel iig.

* wizzkizz werkt natuurlijk als gebruiker en niet als admin ;)
Ik heb gebruikersaccountsbeheer (Vista) pas uitgezet omdat ik elke keer als ik de pc aanzet een stuk of wat programma's toestemming moet geven. Is dit niet te veranderen? Dat dat automatisch gaat?
Nee, dat zou UAC nutteloos maken. Virussen zouden dan op die manier zichzelf altijd admin rechten kunnen laten geven.
dit hoort dan ook DEGELIJK beveiligd te zijn.

een keer op "ok" klikken kan zelfs een programma (kijk maar naar hitman pro, die "klikt" zichzelf door ad-aware en dergelijke. als deze dit kan, kan een virus het ook.)

wil je geen virussen? draai als een user.
kan je niets doen als user of vindt je de constante kinderachtige "waarschuwingen" storend, gebruik dan echte software.
Een programma -kan- niet op OK klikken, aangezien de UAC prompts in de secure desktop draaien. Alleen systeemprocessen kunnen in de secure desktop draaien, en het pad om in de secure desktop te komen moet dus ook volledig vertrouwd zijn. In andere woorden, je virus kan niet draaien op de SD en dus geen UAC-button aanklikken.
@decape: Beetje zwakke redenatie vind je niet? "Ik vertrouw het niet, dus het is niet waar." Je laat je nu leiden door emoties in plaats van door feiten.

Ter info, de SD wordt al jaren gebruikt en is tot op heden nog niet gecompromitteerd. Ervaring genoeg?
Ja, op admin draaien is goed veiligheidsadvies tenslotte. 8)7 Daarnaast, UAC treedt -juist- op als je als admin draait.

Enne, ooit van sudo gehoord?

[Reactie gewijzigd door Maria_von_Trapp op 24 oktober 2007 10:10]

daar zit hem net het idiote.

op admin draaien is idd verkeerd en niet bepaald aangeraden.

maar helaas zijn er nog zoveel programmeurs die persee een admin account voor hun programma vereisen (hoewel dit meestal niet nodig is).

resultaat: je moet toch op een admin draaien.


persoonlijk zou ik liever ook op een user draaien (op mijn desktop/gentoo bak is dit ook zo), maar op bv: mijn gamepc is dit gewoon niet te doen. zelfs niet in vista. in vista is het trouwens te erg voor woorden om te gamen, voor het minste dat je iets wilt starten (wat tevens al maanden op die pc staat), moet je eerst op OK klikken...
voel me net een kind zo, overal toestemming voor moeten vragen.

er zijn nog meerdere punten die me storen, maar deze zijn nu niet ter discutie
Je geeft het zelf al aan: de fout ligt bij de software van derden, die onnodig om admin-rechten vragen.

Ik game zelf ook op Vista. Ik moet nog een UAC prompt tegenkomen bij het draaien van een spel. Bij welke spellen treedt dit probleem bij jou op?
Ik heb gebruikersaccountsbeheer (Vista) pas uitgezet omdat ik elke keer als ik de pc aanzet een stuk of wat programma's toestemming moet geven. Is dit niet te veranderen?
Ja hoor.... Die programma's moeten gewoon worden gepatched.

Het probleem is niet Windows, en niet UAC. Het probleem is dat die programma's iets willen doen waar ze geen toestemming voor hebben. Vaak is dat schrijven een op verkeerde plek, hetgeen meestal niet eens nodig is. Dan moeten ze gewoon op een plek gaan schrijven waar ze wel toegang hebben.

ALS ze inderdaad toegang tot die beveiligde plek moeten krijgen, dan moet dat bij de installatie geregeld worden. Is allemaal prima mogelijk, maar kost gewoon een beetje moeite voor de programmeur.
Als windows firewall je enige bescherming is en je daar ook op vertrouwt, ben je natuurlijk ook niet slim bezig. Windows firewall biedt zo'n beetje de grootste schijnveiligheid die je je voor kunt stellen, met alleen de protectie van buiten naar binnen en niet van binnen naar buiten.
De meeste firewalls draaien als service, dus een simple 'net stop [naam firewall]' zou dan al genoeg zijn om hem uit te schakelen. Daar komt bij: wat is er zo slecht aan de windows firewall? Als je een personal firewall hebt geinstaleerd, maar ook een gebruiker die zonder te lezen op 'OK' klikt, dan schiet je nog niets op.
wat is er slecht aan de windows firewall...

hmm, even denken.

spyware dat zomaar toestemming krijgt (uit zichzelf blijkend) terwijl ik toestemming moet geven voor mijn games en firefox. bijkomend ben ik dan al geconnecteerd en bezig op het net met firefox terwijl het venster "blokkeren opheffen" openstaat (dus het wordt volgens de firewall al geblocked maar toch heb ik er geen last van....


schijnveiligheid genoeg?
Protectie van binnen naar buiten is nutteloos. Als er immers één of andere trojan al op je PC staat is het leed al geleden en kan die firewall er net zo goed niet zijn. Daarbij is het makkelijk te omzeilen/uit te schakelen en in de regel klikken mensen toch bij alles op "Ja" dus dan heb je er al helemaal niks aan.

Het enige wat écht nuttig is, is NAT. Software firewalls zijn gruwelijk overbodig. :)
Precies andersom, NAT beschermt je niet tegen aanvallen van binnen naar buiten en laat trojans dus ongehinderd hun werk doen. Bovendien laat een NAT alles door, of het nou van Firefox.exe of Virus.exe is en doet geen enkele check op applicatieniveau.

Je kunt beter een echte firewall hebben dan vertrouwen dat NAT iets doet waar het niet voor bedoeld (je beschermen tegen ongewenst verkeer).

[Reactie gewijzigd door Maurits van Baerle op 24 oktober 2007 12:54]

Met up-to-date antivirus definities loop je geen risico's.
Da's wel erg kort door de bocht. Juist exploits worden slecht tegengehouden door virusscanners, omdat ze makkelijk te maken zijn en vaak zelf geen (herkenbaar) uitvoerbare code bevatten. Je virusscanner kan moeilijk de uitwisseling van gegevens tussen al je programma's in de gaten houden. De exploit moet zelf een vorm hebben die makkelijk door de scanner herkend kan worden (bepaalde strings e.d.)

Nou gaat het hier om scripting in PDF, dus ik verwacht wel dat dit door een goede virusscanner opgepikt zal worden, maar vanzelfsprekend is het allemaal niet. Ik zou niet gelijk durven zeggen dat mijn scanner PDFjes ontleedt, bijvoorbeeld, dat zou ik eerst na moeten kijken.
Dat krijg je er nu van als je data en code mixt. MS heeft die ellende ook met z'n macro's, en Adobe heeft pdf nota bene ontwikkeld omdat dit soort problemen er ook met de voorganger Postscript waren. En het dan nu weer introduceren... ezels die zich 2 keer aan dezelfde steen stoten zijn het.
in elk programma zitten fouten, belangrijker is hoe de ontwikkelaars er mee omspringen. Het gat is in dit geval gedicht voordat er malware was dat er misbruik van maakt. Dan is het enkel nog aan de gebruiker om ervoor te zorgen dat zijn systeem up to date is.
Het punt dat johanw910 maakt is niet dat er bugs in software zit, maar dat er grove design flaws opnieuw gemaakt worden.
Hoe kan dit een ontwerpfout zijn? Hoe weet hij dat dit een ontwerp fout is? Er word gesproken van een kritiek lek, niet dat een vooraf voorziene functie misbruikt kan worden. En het is niet de eerste keer dat een oude, antieke fout uit een programma van lang geleden nog eens bovenkomt.
Maar ligt het nou alleen aan Adobe Reader of heb ik er met Foxit Reader ook last van?
Denk dat dit alleen met Adobe te maken heeft.
Ik vraag me gewoon af waarom dit soort dingen gemaakt worden? Wat win je ermee om malware te verspreiden?

Ik snap het niet.

Ik snap de kick van hacken, maar virussen, trojans, en dat soort dingen; het ontgaat mij.
Winst, mijn beste, dikke vette criminele winst. Spam bijvoorbeeld levert nog altijd geld op, mits met genoeg volume gedaan, en malware kan je helpen om voldoende volume te krijgen. Of maak de computer lid van een botnet voor DDOS-chantage en gedistribueerd kraken. Of installeer keyloggers en probeer bedrijfsgeheime informatie of creditcardgegevens te bemachtigen. De mogelijkheden zijn eindeloos, en mensen worden dan ook betaald om malware te ontwikkelen. De tijd dat een enthousiasteling op een zolderkamertje experimenteerde met virussen vanuit een theoretische interesse ligt achter ons.
onlangs werd volgens mij bekend dat ook firefox uris ongecontroleerd door gaf. Ze zijn dan misschien niet vatbaar voor dit probleem maar de oorzaak is vrijwel gelijk ;)
juist, firefox is net zo 'schadelijk' op dat gebied als IE7, maar dat komt uiteindelijk meer door URI zelf dan door de browsers, die doen precies wat ze moeten doen, doorgeven aan een programma wat gekoppeld is aan de URI.. tja, dat dat programma de parameters die die binnenkrijgt niet controleert is dus de fout van dat programma, niet van de browsers..
En het was net IE die de URI doorgaf aan Fx en zo het probleem veroorzaakte. Fx was dus 2x in de fout gegaan. Fx heeft de fout wel snel rechtgezet terwijl MS nog een hele tijd de schuld van zich afschoof maar uiteindelijk toch met een patch is gekomen.
Nee, de schul ligt niet bij MS. Zoals SuperDre al aangaf, IE deed exact wat ie moest doen: de URI doorgeven. Het is niet de taak van de browser om te controleren of een URI strings bevat die in fouten in andere programatuur kan uitbuiten.

Het is de fout van het programma die niet goed om gaat met de invoer die het binnen krijgt. Het was dus 100% de fout van Firefox. Microsoft is de gebruikers tegemoet gekomen en filtert nu enkele bekende exploits van URI's, maar dat hoeven ze zeker niet te doen want het is niet hun fout.

Zo ook met dit lek in de Adobe software, niet de fout van MS. Gelukkig is er al een patch voor beschikbaar. Maar helaas is het update proces van Adobe Reader zo omslachtig en vooral langzaam dat ik vrees dat veel mensen de update niet geinstaleerd hebben, of zullen instaleren.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True