mboost-dp1

SXC - daniel447

Hackere bruger proxy til at overtage https-trafik

-

Sikkerhedseksperter har i de seneste måneder pointeret sikkherhedshullet, og nu lader det til, at hackere også er opmærksomme på selv samme. Problemet ligger i den måde ‘web proxy konfigurationen’ i browsere og styresystemer fungerer.

Researchere fra Microsoft har analyseret et angreb fra hackere, der brugte et Worddokument med indbygget, ondsindet kode. Dokumentet installerede ikke traditionel malware men konfigurerede i stedet maskinens browsere til at bruge en proxy, der var kontrolleret af hackerne. Derudover blev der også via dokumentet installeret et nyt root certificate godkendt af hackerne, der gjorde dem i stand til at følge med i ellers krypteret https-trafik.

Angreb som dette begynder til gengæld meget traditionelt – med spammails, der har vedhæftet en .docx-fil. Ved åbning indeholder dokumentet et embedded element, der ligner en invoice eller kvittering. Klikker man på dette, sættes ondsindet JavaScript i gang.

JavaScriptet sætter gang i flere PowerShell scripts, som i sidste ende giver den førnævnte adgang for hackerne inklusiv installation af en Tor-klient. Hackerne bruger nemlig en .onion-side til at levere den nye proxy konfigurationsfil.





Gå til bund
Gravatar #1 - Chucara
1. sep. 2016 07:40
Så ved 'kun' at have fuld adgang til at installere rodcertifikater og ændre proxy opsætning på min maskine, kan de få fat i min trafik?

De kunne også installere en keylogger eller pakkesniffer... Hullet er vel ikke større end så mange andre, der kræver admin adgang til maskinen...
Gravatar #2 - kblood
1. sep. 2016 12:57
Chucara (1) skrev:
Så ved 'kun' at have fuld adgang til at installere rodcertifikater og ændre proxy opsætning på min maskine, kan de få fat i min trafik?

De kunne også installere en keylogger eller pakkesniffer... Hullet er vel ikke større end så mange andre, der kræver admin adgang til maskinen...


Pointen er at de jo kan gøre dette bare ved at få en person til at åbne et standard Word document som ens mail eller virus skanner nok ikke lige ser som en trussel.


Jeg hørte om dette problem for noget tid siden, men man har det vidst ikke hvis man bare deaktivere end eller anden standard indstilling i Windows, da man bruger en Windows service til at gøre dette muligt, og den bruges ikke af de fleste brugere alligevel.

Kan bare ikke huske navnet på den service lige nu.
Gravatar #3 - arne_v
1. sep. 2016 17:25
kblood (2) skrev:

Pointen er at de jo kan gøre dette bare ved at få en person til at åbne et standard Word document som ens mail eller virus skanner nok ikke lige ser som en trussel.


Alle virus skannere og mail programmer bør være opmærksom på office dokumenter.

Den første office dokument makro virus kom på banen i 1995!
Gravatar #4 - kblood
1. sep. 2016 19:26
arne_v (3) skrev:
kblood (2) skrev:

Pointen er at de jo kan gøre dette bare ved at få en person til at åbne et standard Word document som ens mail eller virus skanner nok ikke lige ser som en trussel.


Alle virus skannere og mail programmer bør være opmærksom på office dokumenter.

Den første office dokument makro virus kom på banen i 1995!


Ja, men er de så det? PDF og video filer kan jo også have virus eller andet malware i sig.
Gravatar #5 - Chucara
2. sep. 2016 08:57
#2: Men det er jo ikke noget nyt. Om de bruger makroen i dokumentet til at installere en keylogger eller en proxyopsætning er jo ikke forskelligt.

Men for at køre makroer fra en ukendt kilde, skal man eksplicit give lov til det. Derudover kommer der vel også en UAC prompt for at installere et rodcertifikat.

Altså skal brugeren dumme sig gevaldigt 3 gange før dette kan ske.
Gravatar #6 - CBM
2. sep. 2016 13:10
#5: er glad for at svigerforældrene ikke har admin koden til deres computere :-)
Gravatar #7 - arne_v
2. sep. 2016 13:45
kblood (4) skrev:
Ja, men er de så det?


Ja. Eneste spørgsmål er hvorvidt de kun checker for kendte makro virus eller osgå kan finde nye makro virusser.
Gravatar #8 - Claus Jørgensen
2. sep. 2016 17:55
#1

Der er også utrolig mange virksomheder der installere lokale root-certificates på alle medarbejder maskiner...
Gravatar #9 - Chucara
2. sep. 2016 20:21
#8: Ja? Det er vel også fair nok? At deres IT afdeling gør det kontra at tillade en word makro gør det uden en UAC prompt er vel to vidt forskellige ting. Eller misser jeg noget?
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login