Een vraag die de veiligheid ingenieurs momenteel geconfronteerd met problemen van Microsoft Silverlight. Zoals je misschien al gemerkt, MS net gepatcht een kritieke kwetsbaarheid in Silverlight in januari 12's Patch Tuesday:
MS16-006: Beveiligingsupdate voor Silverlight om uitvoering van externe code Adres, ook verkrijgbaar als KB 3126036
Dit is de officiële beschrijving van MS16-006 gegeven door MS in het beveiligingsbulletin:
Deze beveiligingsupdate lost een beveiligingslek in Microsoft Silverlight. Door het beveiligingslek kan externe code worden uitgevoerd als een gebruiker een gecompromitteerde website die een speciaal vervaardigde Silverlight-applicatie bevat bezoekt. Een aanvaller kan een gebruiker er niet toe dwingen om een gecompromitteerde website te bezoeken. Plaats, Een aanvaller zou gebruikers ertoe moeten overhalen de website te bezoeken, typisch door ertoe te bewegen op een koppeling in een e-mail of instant message waarmee de gebruiker naar de website van de aanvaller.
Leer meer over Januari 12 Patch Tuesday
Waar beveiligingsexperts mee worstelen?, zoals de onderzoekers van Kaspersky Lab, is dat hoewel Silverlight-exploits zijn gebruikt bij een klein aantal aanvallen, het zal niet lang duren voordat dergelijke aanvallen wijdverbreid worden. Zoals door deskundigen, Microsoft heeft weinig gezegd over de exploits van Silverlight.
Waarom zijn Silverlight-kwetsbaarheden een potentiële bedreiging??
Silverlight-kwetsbaarheden lijken misschien veel te veel op beveiligingsbugs in Flash Player. Ze zouden goed opgeleide malware-actoren in staat stellen slachtoffers aan te vallen die verschillende browsers en platforms gebruiken. Onderzoekers van Kaspersky hebben dergelijke aanvallen waargenomen en voorlopig richten aanvallers zich alleen op Windows-computers. Echter, met slechts enkele aanpassingen, aanvallers kunnen zich gaan richten op Mac OS X en andere platforms. Wat over het algemeen zou gebeuren, is dat een gebruiker wordt misleid tot een spear-phishing-schema of het slachtoffer wordt van een drive-by-download. In beide scenario's, de malware-acteur zou een kwaadaardige Silverlight-app op een kwetsbare websver hebben laten vallen.
Waarom is de Silverlight-exploitatie zo belangrijk?? Dit zegt Kaspersky Lab-onderzoeker Brian Bartholomew::
Het is een groot probleem; Silverlight-kwetsbaarheden komen niet zo vaak voor. Exploitatie van de nuldag zelf is vrij technisch, maar zodra een proof-of-concept in handen valt van iemand die weet wat hij doet en de patch reverse-engineert, het is niet zo moeilijk om er een bewapende versie van te maken.
Bovendien, een exploit die wordt toegepast bij gerichte aanvallen kan ook worden 'doorgestuurd' naar momenteel actieve exploitkits en beschikbaar worden gemaakt voor verschillende kwaadwillende operaties.
De Silverlight-bug is gemeld aan Microsoft door de onderzoekers Costin Raiu en Anton Ivanov . van Kaspersky Lab. Hun aandacht werd getrokken door een e-mail van een Russische hacker (Vitaliy Toropov) aan Hacking Team tijdens hun beruchte inbreuk, beweren dat hij een Silverlight zero-day kwetsbaarheid te koop had. Bovendien, de bug was minstens twee jaar oud in 2013. De hacker geloofde zelfs dat de zero-day voor een langere periode onopgemerkt zou kunnen blijven.
Dit is onderdeel van de communicatie met Vitaliy gepubliceerd door ArsTechnica:
Ik raad je de nieuwe 0day aan voor iOS 7/OS X Safari of mijn oude Silverlight-exploit die is geschreven 2.5 jaar geleden en heeft alle kansen om ook de komende jaren verder te overleven.
Is de gepatchte Silverlight-exploit de enige??
Volgens Bartholomeus, De onderzoekers van Kaspersky vonden een oudere Silverlight-kwetsbaarheid en proof of concept die ook werd toegeschreven aan Toropov en werd ingediend bij Packet Storm (een beveiligingsinformatieportaal). Het archief kon worden gedownload en bevatte genoeg informatie voor Kaspersky om een YARA-regel te schrijven voor het DLL-bestand dat de exploit veroorzaakte.
Wat is YARA?
YARA is een tool die voornamelijk wordt gebruikt door malwareonderzoekers om malwarevoorbeelden te identificeren en te classificeren. YARA wordt toegepast om beschrijvingen van malwarefamilies te maken op basis van tekstuele of binaire patronen. Elke beschrijving (of heersen) is een reeks snaren.
Toen de YARA-regel eenmaal klaar was, het is geïmplementeerd op de klantcomputers van Kaspersky. Alles leek goed te gaan tot eind november 2015. Dat is het moment waarop een waarschuwing werd geactiveerd op de computer van een gebruiker door een van de generieke detecties voor de 2013 exploiteren. Uit analyse bleek dat het schadelijke bestand in juli is gemaakt 21, bijna twee weken nadat de inbreuk op het Hacking-team plaatsvond en de gestolen gegevens online openbaar werden gemaakt. De exploit is gemeld aan Microsoft, en werd gepatcht in de januari 12 2016 Patch Tuesday.
Wat voor onderzoekers onduidelijk blijft, is of de gepatchte zero-day-exploit dezelfde is die is onthuld door de hackingteam-inbreuk (degene die door Toropov . te koop wordt aangeboden), of een nieuwe exploit die daarna is geschreven.
Kaspersky's Bartholomew zegt dat er overeenkomsten zijn in beide monsters die wijzen op Toropov:
Niet veel mensen schrijven Silverlight nul dagen, dus het veld wordt aanzienlijk verkleind," zei Bartholomeus:. "Daarbovenop, er zijn enkele foutstrings gebruikt in zijn oude exploit from 2013 waar we ons aan vastklampten en waarvan we dachten dat ze uniek waren. Dit waren de basis van onze regel.
Eindelijk, het gevaarlijke van Silverlight zero-day exploits is dat ze het potentieel hebben om wijdverbreid te worden.
Referenties
ThreatPost
ArsTechnica
Kaspersky Lab