Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

onsdag 24. mars 2010

Norske bedrifter og Internet Explorer 6

I den senere tid har ulike nettaviser ved flere anledninger slått opp at ansatte i flere store, norske bedrifter fremdeles benytter Internet Explorer 6 (IE 6). Samtidig har sikkerhetsaktører som bl.a. NorSIS på generelt grunnlag gått ut og advart mot å benytte den 9 år gamle nettleseren, som har en rekke sårbarheter og svakheter knyttet til seg. Årsakene til at IE6 fremdeles benyttes i en del norske bedrifter kan nok være mange og komplekse, men i hovedsak antar vi at den benyttes pga. kompatibilitet mot gamle og/eller egenutviklede applikasjoner. I det følgende vil vi se litt på utbredelsen av de ulike nettleserne i norske bedrifter, og sette dette i et sikkerhetsperspektiv.

Oversikten under viser fordelingen av de ulike nettleserne observert ifbm. webtrafikk hos et representativt utvalg av TSOC sine norske kunder. Dette er kunder som kjøper tjenesten sikkerhetsovervåking av Telenor, og datagrunnlaget for oversikten antas å være et tilnærmet gjennomsnitt av norske bedrifter.


Som oversikten viser, har Internet Explorer totalt sett en andel på over 85%. Sammenlikner man med nettleserstatistikken mot Finn.no for februar 2010, ser man at den totale IE-andelen der er 66,9%. Forskjellen forklares nok best med at privatbrukere av finn.no har vært langt flinkere til å ta i bruk alternative nettlesere enn bedrifter. Mer bekymringsfullt er det at omlag 26% av bedriftsbrukerne fremdeles benytter IE 6, en nettleser som i følge SecurityFocus skal ha hele 396 upatchede svakheter av varierende alvorlighetsgrad knyttet til seg. Skjeler man til Finn.no igjen, ser man at andelen IE 6 brukere her er nede i 5,6%. Også IE 7 og IE 8 har endel upatchede svakheter i seg, hhv. 15 og 31. Til sammenlikning har Firefox og Opera for øyeblikket ingen upatchede sårbarheter i seg. I sikkerhetsbransjen er det da også en generell oppfatning at Microsoft ofte benytter lengre tid enn konkurrentene på å tette nye svakheter som blir oppdaget/publisert.

Det skal også nevnes at Internet Explorer var hovedangrepsvektor i det som sikkerhetsbransjen har døpt Operasjon Aurora, der flere store, internasjonale selskaper i perioden desember 2009 til februar 2010 ble utsatt for målrettede angrep fra Kina vha. en da ukjent sårbarhet i IE 6/7/8. Det har i ettertid kommet frem at Microsoft hadde kjent til svakheten siden september 2009, og planla å slippe en fiks i forbindelse med deres sikkerhetsoppdatering for februar 2010. Fiksen ble imidlertid gitt ut som en hasteoppdatering den 21. januar.

Tallene over viser at en rekke norske bedrifter idag løper en betydelig risiko for å bli kompromittert ved å benytte IE 6. Her bør det fokuseres på å oppgradere, eventuelt fase ut, gamle applikasjoner slik at man kan ta i bruk nyere versjoner av IE, og dermed redusere denne risikoen. Dette er imidlertid ofte både kostbart og tidkrevende å gjennomføre i praksis. Derfor kan en løsning der man tar i bruk en alternativ nettleser for ekstern bruk, og kun benytter IE 6 mot interne/proprietære applikasjoner, være en akseptabel løsning mens man er i denne prosessen.

mandag 1. mars 2010

Trojaner spres via MSN Messenger

Det ble idag observert en orm som sprer seg via MSN Messenger ved å sende ut meldinger som skal lure mottakerene i kontaktlisten til å laste ned og eksekvere trojaneren.

Dersom trojaneren lastes ned og eksekveres vil den forsøke å koble til en IRC-server på buri.burimche.net, port 1234/tcp.

buri.burimche.net resolver i skrivende stund til 88.208.204.56, og denne serveren er fremdeles oppe. Tidligere idag resolvet domenet til 208.98.51.20, som nå er nede.


AS | IP | CC | AS Name
46844 | 208.98.51.20 | US | ST-BGP - SHARKTECH INTERNET SERVICES
15418 | 88.208.204.56 | GB | FASTHOSTS-INTERNET Fasthosts Internet Ltd. Gloucester, UK.





Meldingene som sendes via MSN fra infiserte brukere inneholder en link til hxxp://www.facebook-c.com/image.php?Photo023girl.JPG, som inneholder selve trojaneren. Det som også er verdt å merke seg er at meldingene er tilpasset språkoppsettet til den infiserte PC'en, slik at meldinger fra norske Windows-oppsett blir sendt på norsk. Eksempler på meldinger som sendes er:


seen this?? :D http://..
poglej to fotografijo :D http://..
titta på min bild :D http://..
uita-te la aceasta fotografie :D http://..
se på dette bildet :D http://..
ser på dette billede :D http://..
vejte se na mou fotku :D http://..
[...]



hxxp://www.facebook-c.com er hostet hos Yahoo, men vil etter all sannsynlighet bli tatt ned innen kort tid.


www.facebook-c.com. 1200 IN CNAME p11-pprr.geo.premiumservices.yahoo.com.
p11-pprr.geo.premiumservices.yahoo.com. 299 IN CNAME sbs-p11p.asbs.yahoodns.net.
sbs-p11p.asbs.yahoodns.net. 300 IN A 98.136.50.138
sbs-p11p.asbs.yahoodns.net. 300 IN A 69.147.83.187
sbs-p11p.asbs.yahoodns.net. 300 IN A 69.147.83.188


Trojaneren er obfuskert med en packer skrevet i Visual Basic, mens selve bot-koden er skrevet i Visual C++. Funksjonaliteten er relativt enkel, men gir bakmennene full kontroll over PC'en:

  • Kommunikasjon med C&C over IRC-protokollen
  • Sending av meldinger via MSN Messenger og Yahoo Messenger
  • Nedlasting og eksekvering av vilkårlige filer


Trojaneren installerer seg under c:\windows\winmbu.exe (skjult med vanlige fil-attributer), legger seg inn i FirewallPolicy som autorisert applikasjon og sørger for automatisk start ved å legge seg inn under HKLM\[..]\Winlogon\Userinit.

Filen detekteres for øyeblikket av 13/41 antivirus-produkter (http://www.virustotal.com/analisis/89c677bc0044864d80244aee8201661e79f431f33c3b164aa778f363fe1cf9da-1267474859)

 
>