:: NORMAN :: Antivirus | Firewall

Home

Nieuws

Producten en diensten

Virussen en beveiliging

Support

Download

Verkooppunten

Aanschaf

Selecteer uw land

Selecteer product

Virussen en beveiliging » Beveiligingsinformatie » 2006 » Het overzicht van gebeurtenissen m.b.t. beveiliging in 2006 (II)

Het overzicht van gebeurtenissen m.b.t. beveiliging in 2006 (II)

Toevoegen aan Mijn Norman Bookmarks

Beveiliging informatie week 29, 2006

April 2006

4 april: Microsoft zegt dat herstellen van Malware onmogelijk wordt

"Als u met Rootkits te maken heeft en met sommige geavanceerde spyware programma’s, is de enige oplossing om vanaf het begin opnieuw te beginnen. “In sommige gevallen, is er echt geen enkele manier om te herstellen zonder de systemen om zeep te helpen", zegt Mike Danseglio, een program manager in de Security Solutions Group van Microsoft op de InfoSec World Conference. Het beste initiatief dat ondernemingen kunnen nemen is te investeren in geautomatiseerde processen om systemen te restoren die zijn beïnvloed door malware.

5 april: Public Beta Software stelt Intel-based Macs in staat om Windows XP te draaien

Apple heeft een beta versie uitgebracht “Boot Camp" geheten, die de Intel-based Macintosh machines in staat stelt om Windows XP te installeren. Na de installatie en een reboot, heeft de gebruiker de mogelijkheid om met Mac OSX op te starten of met Windows XP. Boot Camp is een onderdeel van “Leopard", de codenaam voor de volgende versie van Apple’s Mac OSX, welke zijn eerste preview zal hebben in in Augustus 2006.

5 april: Cisco geeft informatie vrij over kwetsbaarheden

Er zijn kwetsbaarheden ontdekt voor diverse Cisco’s devices. De eerste device is voor de Cisco 11500 Content Services Switch die te leiden heeft van HTTP request vulnerability. Als deze switches ingesteld zijn op compression for HTTP, kan de switch kwetsbaar zijn voor een Denial of Service aanval als er speciaal bewerkte HTTP request wordt uitgevoerd.

Er werden meervoudige kwetsbaarheden ontdekt voor de Cisco Optical Networking Systemen (ONS). Deze hebben invloed op de Multi-Service Provisioning Platforms op de ONS 15310, ONS 15327, ONS 15600 en de Multi-Service Transport Platforms op de ONS15454 waar de Optical Nodes die Common Control Cards verbonden hebben aan een Data Communications Network worden beïnvloed als ze voor IP4 worden gebruikt. Als ze worden geëxploiteerd kan dit resulteren in een aanval van Denial of Service op de Common Control Cards.

Er werd kwetsbaarheid aangetroffen in de Cisco Transport Controller applet launcher die kan leiden tot het uitvoeren van willekeurige code op de werkstations.

Cisco heeft software beschikbaar gesteld die speciaal gericht is op de kwetsbaarheden van deze devices.

6 april: Oracle brengt per toeval informatie over een eigen gebrek

Oracle heeft per ongeluk details gepubliceerd over een veiligheidsgebrek aan zijn eigen MetaLink website waar nog geen patch voor is, met volledige details, inclusief exploit code. Het veiligheidsgebrek had invloed op alle versies van Oracle Database van versie 9.2.2.0 tot 10.2.0.3. Nadat Oracle zich bewust werd van het feit dat deze informatie vrij verkrijgbaar was, hebben zij dit verwijderd van de website. Het veiligheidsgebrek impliceert hoe Oracle Database omgaat met bepaalde speciaal bewerkte views die gecreëerd zijn door onbevoorrechte gebruikers. Deze gebruikers hadden zo toegang tot SELECT voorrechten en konden vervolgens data updaten, verwijderen of invoegen in de databases.
Interessant hier dat het nu Oracle is die gewoonlijk anderen kritiseert over het bekend maken van kwetsbaarheden. Nu was Oracle het zelf, hoewel per ongeluk.

7 april: Proof of Concept Linux/Win32 infector

Tot dusver, het jaar 2006 schijnt het Proof of Concept jaar te zijn, met nog een andere: een virus dat bestanden infecteert van zowel Windows (PE format) en Linux (ELF format) bestanden. Het virus gebruikt twee verschillende technieken om bestanden te infecteren op beide platforms. Het gebruikt de Kernel32.dll functie om Windows bestanden te infecteren en het gebruikt de Int 80 system call functie om Linux bestanden te besmetten. Behalve het infecteren van beide formaten, richt het virus verder geen schade aan.

10 april: SecureBlue: aan u gebracht door BigBlue

IBM heeft een encryption device op basis van hardware gecreëerd, geïnspireerd op mainframe beveiliging, die moet de producten van de consument beschermen, medische hulpmiddelen, defensie systemen en digitale media. De techniek, SecureBlue genoemd kan worden toegepast op allerlei denkbare apparatuur die waardevolle, vertrouwelijke of privé informatie bevat, zoals mobiele telefoons, PDA’s, PC’s, notebooks, etc.

11 april: MS06-013, Remote Execution vanuit Internet Explorer

Er werd een kwetsbaarheid ontdekt in de CreateTextRange API die op afstand uitvoerbare code kon toestaan via speciaal bewerkte websites of via e-mail. De daadwerkelijke schade was beperkt omdat Microsoft nauw samengewerkt heeft met partners zoals Norman om websites af te sluiten die kwaadaardige code beschikbaar stelden en door het uitwisselen van gegevens over URL’s met kwaadaardige websites.

17 april: nog eens twee dozijn veiligheidsgebreken in Firefox

Het wordt altijd voorgesteld veiliger te zijn dan Microsoft’s Internet Explorer, maar Mozilla’s Firefox heeft dit jaar al meer security updates dan Internet Explorer het hele vorige jaar.

Op dit ogenblik heeft de Mozilla Foundation niet meer dan 21 fixes voor veiligheidsgebreken in de Firefox Web browser vrijgegeven.
Naast andere dingen kunnen deze gebreken worden gebruikt om phishing aanvallen uit te voeren en om te knoeien met veiligheidsbeperkingen of gevoelige gegevens.

18 april: Norman onder DdoS aanval

Om 16:30, kwam Norman’s populaire Sandbox Information Center (http://sandbox.norman.com) onder aanval van een DDoS. De web/sql server was uitzonderlijk druk bezig vanwege een aanval van een botnet. Gezamenlijk met hulp van onze ISP, kon de DdoS worden geblokkeerd op de Noorse internet backbone, dus konden werkzaamheden binnen Norman gewoon doorgaan. De botnet was uitgeschakeld.

Vanaf het begin dat Norman het SandBox informatie centrum heeft aangeboden, zijn er mensen die proberen de SandBox te verslaan. Dit heeft o.a. geresulteerd in interessante verwijzingen in malware.

19 april: drie dozijn meer veiligheidsgebreken in Oracle

Dit jaar lijkt het jaar te worden van frequente en talrijke patches. Hoewel deze patches voor diverse Oracle producten waren, inclusief haar database en server applicatie software, maken het brede gebruik in grote ondernemingen deze aantallen onverbiddelijk.
En samen met de veiligheidspatches, bracht Oracle ook veranderingen in hun bestaand hulpmiddel aan, die kan controleren op standaard logins en zwakke wachtwoorden. Zwakke wachtwoorden kunnen gewoonlijk geraden worden of gebruikt worden in een aanval met grof geweld en de hackers zouden gemakkelijke toegang kunnen krijgen op deze manier.

Mei 2006

1 mei: American Express lijdt aan valse pop-ups

De zeer bekende American Express creditcard company had te lijden van valse pop-ups die de gebruikers om persoonlijke details verzochten, zoals naam, geboortedatum, sofi-nummer en meisjesnaam van moeder. Belangrijk detail is dat deze pop-up zelfs tevoorschijn kan komen als de gebruiker naar American Express’ eigen website bladert. De pop-up is zeer waarschijnlijk gecreëerd door spyware gevestigd op computers van gebruikers die deze pop-ups ondervonden. Er worden verscheidene honderden nieuwe banking trojans maandelijks ontdekt.

2 mei: DDoS op de Blog-site

Miljoenen blogs waren niet meer beschikbaar vanwege een distributed denial of service op Six Apart, een van de populairste blog-services in de USA.
Populaire sites worden steeds vaker aangevallen met een DdoS.

9 mei: Welkom op het carnaval: Bestuur de SpyCar

Het EICAR test virus was gemaakt om er zeker van te zijn dat uw antivirus producten werken, de virussen detecteren en de juiste actie ondernemen. Om zich tegen een gemeenschappelijke misvatting te verzetten: detectie van het EICAR testbestand is NIET een garantie dat uw antivirus product elk virus zal detecteren. Naar eigen keuze zijn er antivirus verkopers die om eigen redenen gekozen hebben het EICAR testvirus niet te detecteren. Alle Norman producten die de Norman scanengine gebruiken detecteren het EICAR testvirus.

Nog een initiatief geïntroduceerd om de eindgebruiker te helpen hun spyware te testen is het SpyCar project. Volgens hun eigen definitie is SpyCar een bundel hulpmiddelen die ontworpen is om spyware-als gedrag na te bootsen, maar in een goedaardige vorm
Intelguardians creëerden SpyCar zodat iedereen de op gedrag-gebaseerde defensie van een AntiSpyware hulpmiddel kan testen. Echter de acties door SpyCar gemaakt zijn tamelijk algemeen. Het wijzigen van iemands standaard startpagina op de website in Internet Explorer, is iets dat veel eindgebruikers automatisch vrijwillig doen door een link aan te klikken op hun favoriete startpagina. Hetzelfde gaat op voor het aanpassen van de standaard zoekpagina. Deze acties zijn niet noodzakelijkerwijs gemaakt door spyware of adware.

Een van de nadelen van SpyCar is dat het zich volledig concentreert op Internet Explorer en niet kijkt naar andere populaire browsers als Firefox en Opera. Het EICAR testvirus is antivirus platform onafhankelijk. De vraag naar een testbestand voor antispyware is onlangs gestegen. EICAR zal de omschrijving van het EICAR testbestand veranderen van een antivirus naar een antimalware testbestand. De definitie en de inhoud van het EICAR testbestand blijven hetzelfde. Die kunnen niet gewijzigd worden zonder wereldwijde problemen te veroorzaken in de antivirus industrie.

11 mei: Veilige Mac OSX, 43 veiligheidsgebreken hersteld

Het veronderstelde veel veiligere MAC OSX is helemaal niet zo veilig achteraf gezien.
Het is slechts sinds BootCamp dat Macintosh machines populairder werden. De nieuwe Macintosh machines zijn gebaseerd op de CPU van Intel en BootCamp maakt van de Mac een dual boot tussen Mac OSX en Windows.

Sinds dat de doelgroep groter is geworden besteedt men plotseling meer aandacht aan het Mac OSX en worden er daardoor kwetsbaarheden in aantallen aangetroffen die vroeger ondenkbaar waren geweest. Niet minder dan 31 OSX kwetsbaarheden werden hersteld en 12 Safari kwetsbaarheden. Safari is de internet browser voor Mac OSX

12 mei: ContextPlus RootKit bijt in het stof

ContextPlus is gestopt met zijn activiteiten. De bekendste programma’s van deze onderneming zijn PeopleOnPage en Apropos. Eenmaal geïnstalleerd, zullen zij het surfgedrag monitoren en zullen ze de verkregen informatie naar de ContextPlus servers sturen. Gebaseerd op zijn of haar surfgedrag zal de gebruiker pop-ups voorgeschoteld krijgen die aardig passen bij de interesse van de gebruiker. Het is uiteraard tamelijk irritant als deze pop-ups de hele tijd tevoorschijn komen.
Tijdens de installatie van deze programma’s, wordt ‘kernel mode RootKit technology’ gebruikt om niet te worden ontdekt door antispyware programma’s. Zoals het de meeste van ons bekend zal zijn, is detectie van programma’s die verborgen worden door dit soort techniek verre van gemakkelijk.

25 mei: de nieuwe ‘sales-pitch’

Bij welk evenement dan ook, mensen zullen proberen om er geld aan te verdienen.
Het naderende WK voetbal in Duitsland is dit keer het slachtoffer. Een nieuwe worm, W32/Banwarum genaamd, stuurt e-mail berichten in de Duitse taal uit waarin in sommige gevallen te drukken toegangskaarten worden aangeboden voor de WK. In werkelijkheid stuurt de worm een archief bestand die ingepakt is met een wachtwoord - die weer een kopie van de worm bevat waarbij het wachtwoord in het e-mail bericht staat.

Onnodig te zeggen het archiefbestand geen toegangskaarten bevat. (alsof de kaartjes zo gemakkelijk te printen zouden zijn)

Juni 2006

6 juni: Aangevallen door aantallen

Sinds 6 juni, worden bij een groot aantal ondernemingen vreemde e-mailberichten waargenomen, waarbij het adres van de afzender dezelfde is als die van de ontvanger. De regel met het onderwerp en de tekst zijn beide variabele aantallen tussen 3-7 cijfers in lengte en er zijn geen bijlagen of ingebedde manuscripten. Als je naar de header kijkt, dan zie je dat het ‘from field’ vervalst is. Er is malware die dit soort ‘test’ e-mail verspreidt.
Bepaalde speculaties over de reden hiervan is dat het een poging kan zijn een master e-mail lijst van ongeldige entries op te schonen, of misschien nieuwe entries te verifiëren.
Anderen zeggen dat dit gebruikt zal worden voor spam of voor phishing. Uiteindelijk bleken het berichten te zijn van een nieuwe Bagle variant.

12 juni: ministerie van Energie gehacked

Er zijn persoonlijke gegevens als namen en sofi-nummers gekopieerd van een bestand op een systeem bij het ministerie van Engergie. De informatie, meestal van contractarbeiders, kan uiteraard op vele manieren worden misbruikt. De data bevond zich in een niet geclassificeerd gedeelte van het netwerk en niet in het gedeelte dat de data bevat van de nucleaire systemen; die is veel meer beveiligd.
Ofschoon de diefstal een paar maanden eerder plaatsvond, werd het slechts bij een openbare hoorzitting erkend. En tot aan de hoorzitting, werd er geen poging ondernomen om de gedupeerden op de hoogte te stellen.

13 juni: MS06-021, weer gaten in Internet Explorer

Niet minder dan acht kritische en belangrijke kwetsbaarheden werden met deze update hersteld. Een aanvaller die een of meer van deze kwetsbaarheden gebruikt kan de complete controle van een beïnvloed systeem overnemen. De aanvallers kunnen vervolgens programma’s installeren of knoeien met kostbare gegevens. Verder konden de aanvallers nieuwe accounts aanmaken met volledige gebruikersrechten.

13 juni: MS06-027, Kwetsbaarheid in Microsoft Word

Een kwetsbaarheid in Microsoft Word, ook wel geïdentificeerd als CVE2006-2492, stelt Word open voor aanvallen. Binnen een speciaal bewerkt Word document kan een aanvaller shell-code uitvoeren die hem toestaat volledige controle over het systeem te nemen. Er zwerven diverse proofs of concepts van deze kwetsbaarheid rond, gelukkig geen enkele met een schadelijke inhoud.

21 juni: WiFi als een veiligheids gat

Onderzoekers uit de US zijn er in geslaagd de toegang tot een laptop te verkrijgen door met de code te manipuleren van de device driver van de WiFi kaart van het systeem.
Door gebruik te maken van de open-source “Lots of Radio Connectivity" (LORCORN), hebben zij een grote hoeveelheid draadloze pakketjes naar verschillende wireless kaarten gestuurd. Door deze techniek te gebruiken vonden zij vele veiligheidsgebreken in WiFi device drivers waarbij er een het mogelijk maakte de controle over de laptop volledig over te nemen gebruik makend van deze bug.
De onderzoekers zullen de informatie met een demonstratie op 2 Augustus bij de jaarlijkse Black Hat in Las Vegas onthullen

30 juni: Macintosh weer onder aanval

Net een dag nadat Apple updates voor zijn besturingsysteem vrijgaf, inclusief OSX, is er code uitgebracht om misbruik te maken van een van de veiligheid kwetsbaarheden.
Hoewel de kwetsbaarheid (in het “launched" system onderdeel) hersteld is met de update, leert de ervaring dat het een tijdje duurt alvorens iedereen de patches heeft toegepast.
Het lijkt erop dat de Mac wereld net zo onveilig wordt als die van Windows, een neveneffect veroorzaakt door de toenemende populariteit van de Macintosh, speciaal sinds de nieuwe PowerBooks tegenwoordig een Intel CPU hebben en in staat zijn ook met Windows XP te werken.

30 juni: WinFS opnieuw op non-actief gesteld

Microsoft’s geavanceerde nieuwe bestandsysteem WinFS, dat zou worden vrijgegeven in Windows Vista is weer op non-actief gesteld. Oorspronkelijk zou het een van de hoofdonderdelen vormen binnen Windows Vista, een bestandsysteem op basis van een database, echter in de loop van de jaren heeft het reeds vertragingen veroorzaakt. Microsoft heeft nu aangekondigd dat Vista zonder WinFS wordt geleverd en dat WinFS niet als plug-in beschikbaar komt voor Windows Vista of Windows XP.

De reden voor het op non-actief stellen is onduidelijk. Als het niet een technische reden is dan kan het een legale reden zijn. Verscheidene mensen hebben antitrust kwesties met het systeem WinFS reeds aangekaart aangezien het gebaseerd is op een database.

Vorige overzicht van gebeurtenissen m.b.t. beveiliging

Security Information

Het overzicht van gebeurtenissen m.b.t. beveiliging van het 1e kwartaal 2006 is beschikbaar via deze link.

VIRUS- WAARSCHUWINGEN

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Laatste virusdefinitie- bestanden

>>	2009-01-07

Beveiligingsinformatie

>>	Summing up 2008 and predictions for 2009
>>	Christmas time - a season to enjoy AND fear

Beveiligingsadvies

>>	Unscheduled update for Microsoft Internet Explorer
>>	Six critical updates for Microsoft systems in December 2008

Norman is een van de toonaangevende organisaties ter wereld op het gebied van gegevensbeveiliging. Met producten als antivirus, personal firewall, antispam, data recovery en gecertificeerde data verwijdering, speelt het bedrijf een belangrijke rol in de computergegevens industrie.