facebookDe white-hat-hacker Nir Goldshlager heeft een methode ontwikkeld om via Skype en Dropbox toegang te krijgen tot elk Facebook-account dat met een van beide diensten gekoppeld is. Skype en Dropbox hebben de gaten ondertussen gedicht.

Goldshlager liet aan TechCrunch weten hoe de hack in elkaar steekt. De hack maakt gebruik van open redirect vulnerabilities waarvoor zowel dropbox.com als metrics.skype.com gevoelig bleken. Hierbij konden met behulp van het Facebook User ID van een gebruiker die Skype of Dropbox gekoppeld heeft, zowel het e-mailadres en het wachtwoord van het Facebook-account achterhaald worden.

Door de juiste url, met redirect naar een eigen website, in te toetsen achter het Dropbox- of Skype-domein, kon een hacker de inloggegevens van een Facebook-gebruiker naar zijn eigen domein laten sturen. Zowel Dropbox als Skype bleken niet te valideren naar welk domein de redirect vanaf hun website liep. Skype, Dropbox en Facebook hebben gemeld dat de beveiligingsgaten inmiddels gerepareerd zijn.

Het is niet de eerste keer dat Goldshlager Facebook hackt. In maart 2013 wist de hacker Facebooks OAuth-authenticatie te omzeilen, nadat hem dat eind februari ook al eens was gelukt. Bij de vorige hack wist Goldshlager ook een kwetsbaarheid in redirects op Facebook uit te buiten.

Nir Goldshlager is een white-hat-hacker en rapporteert beveiligingsproblemen die hij opspoort bij de websites in kwestie. De hacker staat al twee jaar op de 'bedanklijst' van Facebook vanwege het aantal lekken dat hij heeft opgespoord.

Bron: Tweakers.net

Microsoft Directory Services (DS) is nog altijd de meest aangevallen dienst op internet, zo meldt internetgigant Akamai. Het bedrijf brengt elk kwartaal de meest aangevallen poorten in kaart. Microsoft-DS via poort 445 kreeg 29% van het aanvalsverkeer te verduren. Daarmee is de situatie nauwelijks veranderd ten opzichte van het derde kwartaal, toen het nog om 30 procent ging. 

Wat de aanvallen veroorzaakt laat Akamai niet weten, maar het is bekend dat de Confickerworm zich via deze poort verspreidt. Onlangs kwam Microsoft nog met een rapport waaruit bleek dat 10% van alle besmette bedrijfscomputers door Conficker is geïnfecteerd. 

Telnet (7,2%) en Microsoft Terminal Services (5,7%) volgen. Tussen het derde en vierde kwartaal van 2012 zijn er nauwelijks grote verschuivingen zichtbaar. Alleen de hoeveelheid aanvalsverkeer over SSL (HTTPS) verdubbelde van 1,1% naar 2,1%.

China
Volgens Akamai kwam 41% van al het aanvalsverkeer uit China vandaan, een toename van 8% ten opzichte van het derde kwartaal. De Verenigde Staten en Turkije volgen op afstand met respectievelijk 10% en 4,7%. 

top 10 attacked ports
Bron: Security.nl

routerEen Amerikaanse beveiligingsonderzoeker waarschuwt om geen Linksys-routers te gebruiken nadat hij verschillende kwetsbaarheden in de apparatuur ontdekte. Phil Purviance gaf vorig jaar een lezing hoe iemand een internetworm kon ontwerpen die netwerkapparaten zoals routers zou aanvallen en ze vervolgens als botnet inschakelde voor het monitoren van netwerkverkeer. 


Voor de presentatie demonstreerde Purviance een kwetsbaarheid in de populaire Linksys WRT54GL router. In januari van dit jaar publiceerde Cisco een beveiligingsupdate, maar die patch verhielp alleen een ongerelateerd cross-site scripting-probleem. De onderzoeker merkt op dat we inmiddels een jaar verder zijn en de router nog steeds kwetsbaar voor de Cross-Site File Upload (CSFU)-aanval is. 

Onveilig
Purviance stelt dat de router alleen een mechanisme was om zijn aanval te demonstreren. Tijdens het onderzoeksproces analyseerde hij ook andere Linksys-routers, zoals de Linksys EA2700 Network Manager N600 Wi_Fi Wireless-N Router. De onderzoeker had slechts 30 minuten nodig om tot de conclusie te komen dat elk netwerk met de EA2700 router wagenwijd open staat voor hackers. 

Op 5 maart van dit jaar waarschuwde hij Cisco, maar vanwege de ernst besloot hij een maand later zijn bevindingen te publiceren en zo het publiek te waarschuwen. Het gaat zowel om het Linksys WRT54GL CSFU-lek als vier kwetsbaarheden in de EA2700 router. Vanwege de kwetsbaarheden en reactie van Cisco adviseert Prviance internetgebruikers om geen Linksys-routers te gebruiken. 

Metasploit
Op de dag dat Purviance zijn exploits publiceerde verschenen er ook nieuwe Metasploit-modules voor het aanvallen van Linux-routers. Metasploit is een framework waarmee security professionals de veiligheid van systemen en netwerken kunnen testen. 

De nieuwe Metasploit-modules maken het mogelijk om willekeurige opdrachten op de Netgear DGN2200B, DGN1000B, D-Link DIR-615 en Linksys E1500 en E2500 WiFi-routers uit te voeren. Daardoor is het mogelijk voor een aanvaller om de kwetsbare apparaten over te nemen en bijvoorbeeld netwerkverkeer af te luisteren.
Bron: security.nl

 

apache_logoMogelijk twintigduizend websites die gehost worden op Apache-servers zijn de afgelopen maanden geïnfecteerd met malware. De toolkit genaamd Darkleech is nog steeds actief en onderzoekers hebben moeite de exacte werking te achterhalen.

Dit meldt Ars Technica op basis van een rondgang bij verschillende beveiligingsexperts. De eerste meldingen van de malware dateren al van augustus vorig jaar en onder andere het blog van Seagate en de site van The Los Angeles Times werden getroffen. Na besmetting van de Apache-server wordt code in websites op de systemen geïnjecteerd. De browser van bezoekers van die websites, opent vervolgens heimelijk een verbinding met andere websites, die malware serveren.

Door de complexiteit van het programma is er echter nog steeds veel onduidelijk rondom Darkleech, onderzoekers weten bijvoorbeeld niet hoe de kwaadaardige software zich op servers nestelt. Het zou via kwetsbaarheden in Plesk of Cpanel kunnen gaan, maar ook wordt social engineering, het kraken van wachtwoorden of het uitbuiten van andere kwetsbaarheden niet uitgesloten. Onderzoekers van Cisco troffen bij een analyse de malware aan op meer dan tweeduizend webservers en schatten op basis daarvan, met de voorzichtige aanname dat zo'n server gemiddeld tien sites host, het totaal aantal geïnfecteerde sites op minstens twintigduizend.

Het onderzoek naar de malware wordt bemoeilijkt doordat niet makkelijk is vast te stellen hoeveel en welke sites er precies geïnfecteerd zijn. Darkleech serveert namelijk niet aan alle bezoekers kwaadaardige links. De malware lijkt ip-adressen te filteren en adressen afkomstig van hostingbedrijven en beveiligingsfirma's zijn geen doelwit. Ook bezoekers die recentelijk het slachtoffer van een aanval waren of op de betreffende website kwamen via specifieke zoekopdrachten lijken niet getroffen te worden. Darkleech is daarnaast in staat om unieke links die het bezoekers serveert, te genereren.

Het verwijderen van de malware blijkt ook lastig. De malware wijzigt onder andere na besmetting de ssh-binaries op servers. Hierdoor kunnen ze op afstand de authenticatie van de systemen omzeilen en ook bestaande authenticaties onderscheppen. Daarnaast slagen aanvallers er mogelijk in om hun toegang te herstellen na het verwijderen van de kwaadaardige modules via backdoors en rootkits. Overigens is de Darkleech-module zelf niet nieuw: eind september werd hier al melding van gemaakt en toen was de claim al dat de software al twee jaar oud was.

bron: Tweakers.net