Zero day raakt ook recentere versie Internet Explorer

Als je altijd een lada rijd en nooit een (gratis) ferari geprobeerd heb weet je ook niet wat je mist.

Meer info: http://www.kb.cert.org/vuls/id/480095 . Maar ik begreep dat men ASLR al omzeild met spraying en voor DEP zijn ook truken beschikbaar.

Helaas is de volgende statement niet waar:

"Dus als je UAC hebt aanstaan kan alleen jouw user-account besmet worden en zijn allerlei OS zaken buiten bereik van de kwaardaardige code."

Dit heet privacy escalation en is, wanneer de kwaadaardige code op jouw machine staat, erg makkelijk om te verkrijgen. Vaak zullen exploits al een ingebouwde omzeiling van de rechten bevatten waardoor, via de exploit, bijna altijd administrator rechten zullen worden verleent.

Deze hele post is tot nu toe weer een domme discussie over IE vs AndereBrowsers™ geworden, en de werkelijke interessante discussie wordt inderdaad weer niet gevoerd.

Klopt. IE heeft fans (al begrijp ik dat zelf dan weer niet) en de andere browsers ook, maar de meeste van die voorkeuren zijn niet op feiten gebaseerd en slechts persoonlijk 'ik vind deze browser fijn en die andere niet'. Feit is wel dat het niet uit zou mogen maken maar helaas is de dominante browser degene die afwijkt.
Dit komt iedere keer terug en zal nooit veranderen.

Echter

Zoals ik het begrepen heb:
1) je moet langs een website gaan die gehacked is, of waar een advertentie staat die gehacked is.

Er zijn genoeg websites die recent hiermee te maken hadden. Feit is in ieder geval dat je er dus helaas van uit moet gaan dat iedere site malware kan serveren.

2) via deze hack wordt een 'nep' Flash component gestart en gebruik gemaakt van een lek in Flash om kwaardaardige code te started. Alternatieven zijn een Java lek.

Java is voor steeds minder websites noodzakelijk maar Flash zal voorlopig nog niet uitsterven. Feit is wel dat je in veel browsers met plugins Flash en Silverlight kunt blokkeren (in Opera heb je daar zelfs geen plugin voor nodig) en dus zal een besmetting al een stuk onwaarschijnlijker worden. Met Flashblock moet je dus al expliciet een Flash activeren, een niet zichtbaar exemplaar wordt dus niet uitgevoerd.
HTML5 is misschien veiliger maar daar kun je dergelijke elementen dus nog niet uitschakelen.

3) deze kwaadaardige code kan dan een 2e programma in jouw internet cache zetten
4) dit 2e programm kan dan uitgevoerd worden onder het user-account waarin je ingelogd bent.

Dit artikel gaat enkel over (3), maar de hele keten van 1 t/m 4 is nodig om jou te besmetten.
Dus als je UAC hebt aanstaan kan alleen jouw user-account besmet worden en zijn allerlei OS zaken buiten bereik van de kwaardaardige code.

Die hele keten komt vaak genoeg voor. UAC zou ik niet op vertrouwen, de meeste gebruikers klikken toch op OK, Yes of Ja omdat ze dat gewend zijn.

Doen ze dat niet dan wordt immers meestal de pagina niet goed weergegeven/uitgevoerd, of het bedoelde programma niet gestart en kunnen ze niet doen wat ze wilden of moeten doen.

Zelfs als ze zich realiseren dat er een beveiligingsrisico is (dat ze verder niet af kunnen vangen) dan zullen ze dus die keuze maken. Met beperkte accounts, bv in een bedrijfsomgeving zit je dan iets veiliger maar er zijn ook exploits voor user-elevation.

Maar ook, als je Flash niet actief hebt op je PC of zodra Flash deze bug in hun code fixt, stop de keten ook.

Had je een virusscanner die dit 2e programma herkende (stap 4) was het ook geen probleem geweest. (Of als de virusscnanner de code van stap 3 herkent had, maar het lijtk erop dat geen enkele scanner dat vandaag de dag doet.)

Virusscanner die werken op basis van signatures lopen altijd achter de feiten aan en heuristische scanners leveren een te hoge ratio false-positives op (bij mij thuis werkt de energiebesparingsmodus niet meer omdat Avast de Lenovo software als malware aanmerkte. Ook met meldingen betreffende false positives in de Clamwin en Immunet signature-files dezen ze niets. Na Antivir en AVG heb ik nu dus ook Avast afheschreven. )

In Flash worden in zo'n hoog tempo nieuwe kwetsbaarheden ontdekt dat ik daar maar niet teveel op zou rekenen. Ja het updatetempo van Flash ligt ook hoog maar je weet nooit wat er nog niet ontdekt is en malwaremakers, bedrijfs-spionnen en geheime diensten zullen nooit vrijgeven wat zij gevonden hebben.

Nu gaan er verhalen dat er bewust achterdeurtjes ingebouwd worden speciaal voor de Amerikaanse geheime diensten, die anderen dan weer af doen als absurd. Uit te sluiten dat dit niet het geval is, is het echter niet. Zelfs de backdoor in de BSD-network-stack werd pas meer dan 10 jaar na dato ontdekt. Recentelijk werd zelfs ontdekt dat er in hardware heel eenvoudig backdoors ingebouwd kunnen worden.

Maar wellicht vergis ik me. Vul me dan gerust aan.

Bij deze dus

Ikzelf raad iedereen altijd het volgende aan:
- verwijder Flash van je computer. Kijk YouTube op je telefoon op Pad. Scheelt je ook nog eens X adds op websites.

Ik gebruik Flashblock tot grote tevredenheid. Mijn telefoon draait geen Flash. Op mijn tablet vindt ik het niet stabiel genoeg, gebruik ik liever de ingeboude Youtube-app.

- verwijder Java van je PC. Enkel bepaalde bedrijfs software heeft dat doorgaans nog nodig.

Na een tijd er niet op gehad te hebben (laatste LibreOffice-installatie bewust zonder gedaan) het er nu weer op gezet omdat de VPN met mijn werk het anders niet doet.

- verwijder of disable the Acrobat Reader plugin. Download the PDF en lees zo. Twee klikken meer.

Doe ik al jaren. Ten tijde van firefox 1,5 ontdekte ik al dat op mijn Celeron 466 en Duron 850 IE bleeft hangen op die plugin terwijl FF en Opera (waarvoor er toen nog geen plugin was) gewoon de Reader openden. In die tijd schakelde ik overigens ook over op Foxit Reader die bij mij nu weer een paar jaar vervangen is door SumatraPDF. Laatste gebruik ik nu naast Adobe Reader X vanwege het niet juist weergeven van sommige handleidingen.

Op dat moment zijn het overweldigende deel van de exploits niet meer in staat jouw PC te besmetten zelfs al zou je onverhoopt op een foute website of add komen. Ik weet het niet voor iedereen mogelijk, maar ik denk voor meer gebruikers dan je denkt iets wat geen enkel probleem oplevert.

Er zijn altijd nog andere beveiligingsgaten, met name die in de browsers zelf. Als we echter kijken naar welke browsers deze gemiddeld het snelst patchen dan heeft IE niet zo'n best track-record ook al is het aantal ontdekte kwetsbaarheden in FF iets hoger. Voor mij is er echter niet één browser die op alle punten maximaal scoort. Daarom gebruik ik er op dit moment drie* door elkaar (eigenlijk 4 maar twee zijn chromium-based, dus vrijwel gelijk) en houdt ik er nog een paar in de gaten.

*Zelf vind ik over-all Opera het fijnst maar daar is het printen zwak en mis ik enkele plugins. Firefox/Pale Moon print het best en heeft de beste plugins (o.a. de onmisbare Plainoldfavorites en Preserve Download Modification Timestamp) maar vind ik sinds versie 2.0 traag (is sindsdien wel verbeterd) en gaat sinds versie 12 weer achteruit. Chromium heeft ook positieve kanten maar mist genoemde plugins en het elke tab een eigen proces draait niet lekker met heel veel tabs open. K-Meleon zitet er dan weer ouderwets uit en de knoppen zijn weer net iets te klein.

Ja, is al getest ( lijkt me uit onderstaande zin uit het artikel ).

Internet Explorer 10, dat later dit jaar uitkomt en al in de release previews van Windows 8 zat, is niet getroffen.

Naast dat je dus alle documenten van die gebruiker kunt benaderen (en zijn cookie store en weet ik veel wat) is het vervolgens mogelijk om met een tweede exploit verder te komen. Ik weet dat beheerders voornamelijk remote exploits fixen en local exploits veelal later gepatched worden (onder het mom: dan moet alles opnieuw getest worden).

Poeh, dat zeg jij. Hier bij ons (financiele sector) werden ze helemaal geflipt van weer de zoveelste open deur in IE. Dit gat is echt een zeer serieus probleem.
Omdat dit nu net een paar keer te vaak gebeurd is heeft de CIO nu eindelijk de knoop doorgehakt, IE wordt gedisabled op alle PCs (geen idee hoe ze dat doen, wellicht policies of zo). Alle interne websites die nu nog IE vereisen worden in hoog tempo vervangen (zelfs een paar die net nieuw zijn) en zijn in de tussentijd alleen nog via terminal server te benaderen, dat was al tijden geleden aangeraden door ons team (archicture). Had overigens liever gehad dat ze voor de Xen Virtual desktop optie waren gegaan, dan hadden we tenminste hardened systemen kunnen gebruiken voor de belangrijkste applicaties.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 02:16]

Ik kan het alleen maar met je eens zijn. Nouja, niet dat IE10 de beste browser voor mij is, want dat zal Opera nog altijd zijn, maar het werkt lekker handig. Ook met de Windows 8 interface waar je het makkelijk en snel kunt opstarten. Dit is misschien één van de weinige W8 applicaties die ik zo gebruik.

Alle browsers hebben zo hun zwakke punten en geen één is perfect. Hoe meer een browser wordt gebruikt, hoe interessanter het is om deze te misbruiken. Chrome is pas geleden ook 3 keer op één dag gekraakt tijdens zo'n wedstrijd terwijl ze zeggen dat dit een veiligere browser zou zijn omdat deze in een sandbox draait. Het beste zou zijn als browser makers niet van de daken zouden schreeuwen dat ze de best beveiligde browser hebben. Dan wordt het alleen maar uitdagender om deze beveiliging toch te omzeilen. Helaas is dat markttechnisch wat minder slim.

Ik kon de synchronisatiefunctie van iexplore en de extensie Adblock niet echt makkelijk vinden...

Daarnaast vind ik persoonlijk IE9 aangenaam werken. Maar net als Chrome en Firefox zijn dat persoonlijke voorkeuren.

Ik gebruik behalve FF ook ipv IE Maxthon 3 gebruikt ook de IE engine.Werkt snel en er is een mobiele versie van.

Mag ik je dan een TerminalServer/Winframe/whatever oplossing aanraden? Dat is een redelijk eenvoudige workaround en verwijderd de dependencies op werkstation nivo. Systeembeheerders kunnen dan eindelijk normaal gaan patchen op de PCs

De IE webbrowser is helemaal niet geintregreerd.
Sommige delen van het OS gebruiken wel de IE render engine voor het laten zien van opgemaakte tekst.