torsdag 27 september 2012

Skadliga tillägg installeras omärkbart i Firefox

Du har säkert stött på program, som t.ex. Flash Player eller annan gratis programvara, som vill installera en toolbar (spyware/adware) i din webbläsare. Det handlar då om en 3:e-parts-installation av en så kallad "extension". 

I Firefox består installationen av extensions/tillägg av att kopiera webbläsartillägget till din Firefox-profil (eller en mapp med extentions som delas av alla profiler).

Exempel på mjukvara som innehåller adware.

Firefox skyddar mot denna typ av extensions genom att låta användaren bekräfta installationen nästa gång webbläsaren startas - användaren får möjlighet att inaktivera (standardåtgärd) eller aktivera nya extensions.

Det är dock mycket enkelt att kringgå varningen från Firefox. Firefox lagrar information om alla anknytningar i en sqlite3.databas som heter "extensions.sqlite", som ligger i varje Firefox-profil. Den innehåller:
  • Namn, version, beskrivning, etc.
  • Aktiverad eller inaktiverad.
  • Om den installeras från Mozilla officiella webbplats eller ej.
När Firefox startar kontrollerar den listan över extensions under mot innehållet i extensions.sqlite. Om en extension finns på disken men inte finns med i databasen visas en varning för användaren. För att installera en extension utan varning kan oseriösa aktörer lägga till en post i extension-databasen och få Firefox att tro att en extention redan har godkänts av användaren.

Zscaler Threathslabs demonstrerar hur detta fungerar i videon nedan:


Många gratis-programvaror finansieras genom att verktygsfält, adware och spyware installeras som en del av installationen. Firefox ger användarna en chans att klart och tydligt bestämma om de vill installera dessa tillägg. Utan detta skydd kan många användare luras till att köra extensions utan att själva vara medvetna om det.

Skadliga webbläsartillägg är mycket svårare att upptäcka när de väl har installerats. Eftersom extensions är en del av webbläsaren kan deras processer inte skiljas från webbläsarens. Webbläsaren har tillgång till både Internet och filsystemet och tilläggen får samma tillgång utan att behöva lägga till startskript eller Windows-tjänster. Med denna metod kan tilläggen fånga upp inloggningar och lösenord mm. Antivirus-leverantörer kämpar med att upptäcka skadliga JavaScript och skadliga Firefox-tillägg men enligt VirusTotal klassas inte skadliga extensions som virus.


www.wecloud.se
info@wecloud.se

onsdag 19 september 2012

Så utnyttjas den nya sårbarheten i Explorer

De senaste dagarna har flera organisationer och medier varnat för en nyupptäckt sårbarhet i Internet Explorer. Myndigheten för samhällsskydd och beredskap avråder myndigheter från att använda Internet Explorer. WeCloud förklarar hur det verkliga hotet ser ut och hur sårbarheten utnyttjas.

Webbsidan hxxp:// invitation [.] spacegas [.] com /Join-Id.html är ett exempel på en av de  webbsidor som utnyttjar sårbarheten i Internet Explorer (CVE-2012-4969) för att infektera besökare.

Webbsidan utger sig för att vara en mötesförfrågan till ett online-möte (t.ex. WebEx eller GoToMeeting): 

Förmodligen används någon form av "social engineering" som skickas via e-post för att lura in användaren på webbsidan, eftersom inga HTTP-referals har kunnat knytas till sidan.

Webbsidans kod innehåller en iFrame som pekar på en sida (join.html) på samma IP (211.237.20.39):



Sidan join.html levererar den omtalade CVE-2012-4969 exploit-koden:


"Moh2010.swf" är ett vanligt förekommande filnamn i samband med detta hot. MD5-hachen  av den Flash-fil som vi laddade ner var: 501cf420b5495874d6c795804ce21fd8 och är krypterad med DoSWF.

Genom att köra sårbarheten och den medföljande skadliga koden i Anubis sandbox skapas följande rapport: Länk till Anubis Rapporten.


Vi noterar att följande registernyckel skapas:
HKU \ S-1-5-21-842925246-1425521274-308236825-500 \ Software \ Microsoft \ Internet Explorer \ International \ CpMRU samt ett "Mutex Set": _SHuassist.mtx

Vidare analyser visar att någon laddat upp den skadliga koden till analysverktyget VirusTotal - som visardefinierar den som Delphi RAT (möjligen en Hupigon-variant). Fullständig rapport hittas här: Virus Total Report.


WeCloud's webbsäkerhetslösning från Zscaler hindrar automatiskt  kod som utnyttjar sårbarheten att nå webbläsaren, oavsett var användaren kopplar upp sig. Zscaler deltar i säkerhetssamarbetet Microsoft MAPPS (Microsoft Active Protections Program) och får automatiskt information om nya sårbarheter i mjukvara för att snabbt kunna implementera skydd och stoppa utnyttjande av 0-dagarssårbarheter. 

www.wecloud.se
info@wecloud.se 
 

tisdag 18 september 2012

Zscaler skyddar mot nytt säkerhetshål i Internet Explorer






En s.k. "0-day"-sårbarhet i Internet Explorer har offentliggjorts. Enligt uppgift är IE7, 8 och 9 på Windows XP, Vista och 7 påverkade. Sårbarheten utnyttjas aktivt. 

Microsoft har bekräftat sårbarheten men i nuläget finns ingen fungerande patch. De tillfälliga lösningarna som rekomenderas av Microsoft presenteras här: Microsoft Security Advisory (2757760).

WeCloud's webbsäkerhetslösning från Zscaler hindrar automatiskt  kod som utnyttjar sårbarheten att nå webbläsaren, oavsett var användaren kopplar upp sig. Zscaler deltar i säkerhetssamarbetet Microsoft MAPPS (Microsoft Active Protections Program) och får automatiskt information om nya sårbarheter i tillverkarens mjukvara för att snabbt kunna implementera skydd och stoppa utnyttjande av 0-dagarssårbarheter. 

WeCloud's webbsäkerhetslösning Zscaler bygger på ett  gemensamt och globalt uppdaterat skalskydd som rensar http/https-trafiken från den kod som utnyttjar sårbarheter och annan skadlig kod innan den når klienterna.

www.wecloud.se
info@wecloud.se

torsdag 13 september 2012

Erbjudande till Postini-kunder och återförsäljare


Google, som tidigare köpt upp företaget Postini,  kommer under 2013 helt avveckla de fristående Postini-tjänsterna för e-postsäkerhet och integrera dessa i Google Apps.  

Ledande säkerhetsanalytiker som Gartner rekommenderar att Postini-kunder avvaktar tills andra halvåret 2013 innan man gör övergången till  Google Apps, för att ge Google tid att vidareutveckla funktionalitet samt utvärdera de förändringar migreringen kommer innebära.  
Detta lämnar Postini's kunder inför det svåra valet att fortsätta utan e-postsäkerhetslösning, välja en annan e-postsäkerhetslösning eller migrera till en ny och oprövad Google App.


WeCloud, som distribuerar Zscaler's e-postsäkerhetslösning i Skandinavien, erbjuder därför Postini's kunder en effektiv och välbeprövad lösning för e-postsäkerhet. Zscaler Email Security Suite kan ge en bättre molnbaserad lösning med all funktionalitet du kräver. Och om du agerar innan 31 oktober kan du få en förbättrad e-postsäkerhetslösning PLUS Web Security GRATIS i 6 månader.


Kontakta oss på WeCloud för mera information.

www.wecloud.se
info@wecloud.se

fredag 7 september 2012

WeCloud sportar...


WeCloud's huvudkontor ligger i Malmö och när det stora derbyt mellan Zlatan Ibrahimovics moderklubb FC Rosengård och BK Olympic gick av stapeln på ett soligt Rosengårds IP var det en självklarhet för WeCloud att vara på plats. 

Givetvis var vi också med och bjöd de 1.422 åskådarna på entrén. En självklarhet, ära och glädje. Extra glädjande var resultatet och kvalitén på matchen, ett starkt och spelmässigt bländande Rosengård avfärdade ett tappert Olympic med 5-0.

Som ett ungt företag i Malmö tar vi fotboll på allvar och låter oss inspireras inte bara av F.C Rosengårds fina spel och seger, men också av deras lika fina som viktiga föreningsarbete - Forza FCR & Malmö!



www.wecloud.se
infor@wecloud.se