Gevaarlijk: malware bedreigt voorzichtige surfers
Ben je voorzichtig op het internet en download je enkel bestanden van websites die je kunt vertrouwen? Dat is vanaf nu niet meer genoeg.
Een recent ontdekte zwakte geeft gebruikers met slechte bedoelingen de kans om malware aan te bieden via links op legitieme websites. Daardoor worden zelfs voorzichtige surfers in de luren gelegd.
[related_article id=”161920″]
Deze aanval wordt reflected file download of RFD genoemd en lijkt qua concept erg op XSS-aanvallen. Daarbij wordt een gebruiker in de val gelokt met een link die naar een legitieme website leidt, maar speciaal ontworpen is om daarbij ongewenste code uit te voeren.
In het geval van RFD gaat het niet om code die door de browser van het slachtoffer wordt uitgevoerd, maar om een uitvoerbaar bestand dat ter download wordt aangeboden en dat bijvoorbeeld scriptbestanden bevat. De inhoud van het bestand wordt doorgegeven via een door de aanvaller gegenereerde URL waar de gebruiker op klikt; daarbij geeft de website door aan de browser dat het in feite om een download gaat.
Deze achterpoort maakt krachtigere spamaanvallen mogelijk, want hoewel het bestand in werkelijkheid niet gehost wordt op de website die wordt weergegeven, lijkt dat voor de ontvanger van de link wél het geval te zijn. Een gebruiker moet natuurlijk nog steeds de download goedkeuren en het bestand openen om het te laten uitvoeren, maar met dit systeem is het niet zo moeilijk om die gebruiker daartoe over te halen.
Een voorbeeld: je ontvangt een nepmail van je bank waarin je gevraagd wordt om een nieuw securitypakket te downloaden. Die mail lijkt plots veel geloofwaardiger als de inbegrepen downloadlink ook echt terugwijst naar de officiële website van je bank. En dat is nu net wat een RFD kan doen uitschijnen.
Veel grote websites kwetsbaar
Het probleem werd ontdekt door Trustwave-onderzoeker Oren Hafif. Hij stelt dat een website kwetsbaar is voor deze aanvallen als ze aan drie criteria voldoet. Helaas is dat het geval voor de overgrote meerderheid van websites die JSON (JavaScript Object Notation) of JSONP (JSON met padding) gebruiken – en dat zijn twee zeer populaire webtechnologieën. Websites die geen JSON(P) gebruiken zijn daarenboven ook niet per se vrijgesteld van het probleem, zegt Hafif.
De onderzoeker vond verschillende varianten op de aanval, onder andere in een aantal Google Services, Microsoft Bing en verschillende top 100-websites, zo bleek uit z’n voorstelling op de Black Hat Europe-conferentie. Hij maakte echter geen exacte namen bekend, omdat de verschillende bedrijven nog ingelicht worden.
Daarenboven vond Hafif nog een manier om de waarschuwing te omzeilen die Windows automatisch geeft als je een uitvoerbaar bestand opent dat je van het internet hebt gedownload, waardoor de aanval nog krachtiger wordt. Aangezien hij alle details heeft overgemaakt aan Microsofts beveiligingsteam, komt er hiervoor hopelijk snel een oplossing.
Bestanden die via RFD worden gegenereerd hoeven niet complex te zijn; ze kunnen dienen als zogenaamde malwaredroppers, omdat ze de Windows PowerShell – een standaard scripting-omgeving in Windows 7 en nieuwer – om extra malware van een externe server te downloaden en installeren. Hafif stelt dat als een gebruiker zo’n bestand uitvoert, de aanvaller de volledige controle over z’n systeem kan overnemen.