Artikel top billede

DK-CERT: Hul fra Kina-angreb er lukket

Spor i kildekoden tyder på, at ikke kun angrebet på Google, men også et af programmerne bag det kom fra Kina, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Den største it-sikkerhedshistorie i januar var utvivlsomt Googles oplysning om, at firmaet var blevet angrebet af hackere fra kinesiske IP-adresser.

Over 30 andre firmaer var udsat for lignende angreb.
Efter nogle dage viste det sig, at hackerne udnyttede et hidtil ukendt sikkerhedshul i Internet Explorer til at komme ind på ofrenes pc'er.

Rettelsen blev fremskyndet

Microsoft kendte allerede til sårbarheden, som firmaet blev gjort opmærksom på i september.

Derfor var Microsoft godt i gang med at udvikle en sikkerhedsrettelse, der skulle udsendes sammen med de øvrige rettelser i februar.

Men da sårbarheden nu blev offentligt kendt, gik der ikke lang tid, før eksempler på angrebsprogrammer var tilgængelige.

Derfor valgte Microsoft at udgive rettelsen før planlagt. Så den kom allerede den 21. januar.

En interessant detalje er, at rettelsen ikke kun lukker det aktuelle sikkerhedshul. Den fjerner også syv andre sårbarheder, som ikke har været offentligt kendt.

Aurora angreb IE 6

Den sårbarhed, der blev brugt i angrebet, er kendt som CVE-2010-0249.

Den opstår, når Internet Explorer prøver at tilgå memory, som er initialiseret forkert.

Angrebene mod Google og andre firmaer har fået navnet Aurora.

De brugte et angrebsprogram, der kun virkede under Internet Explorer 6. Angrebsprogrammet havde form som et link til en webside, der aktiverede sårbarheden. Herefter blev der installeret en trojansk hest på pc'en.

Nogle iagttagere har i øvrigt moret sig over, at der åbenbart må sidde nogen i Google, som bruger en for længst forældet version af konkurrentens browser.

De dystre spor fra Kina

Sikkerhedsforsker Joe Stewart har analyseret koden til det program, der blev installeret på de sårbare pc'er. Han har især kigget efter tegn på, om den ser ud til at være skrevet af kinesere.

Det ser det ikke umiddelbart ud til: Sprogindstillingerne i ressourcedelen af filen er således sat til engelsk.

Men han faldt over et mærkeligt valg af algoritme. Til en fejlkorrektionsalgoritme bruger programmet en metode, som adskiller sig fra normen.

Joe Stewart har søgt efter lignende algoritmer på nettet. Han har fundet nogle, og de stammer alle fra Kina.

Det officielle Kina har afvist at være involveret i angrebet.

Kan DEP slås fra?

Siden det første angrebsprogram blev offentliggjort har der været forlydender om, at det skulle være muligt at omgå DEP-beskyttelsen (Data Execution Prevention).

DEP findes i Vista og Windows 7. Funktionen forhindrer, at der kan køres programkode fra områder af memory, der er afsat til data.

Dermed beskytter funktionen mod udnyttelse af sårbarheden, hvis den er aktiveret.

Microsoft mener, at der nok findes angrebsprogrammer, som kan omgå DEP og udnytte sårbarheden. Men de er ikke set anvendt i praksis.

Under alle omstændigheder anbefaler jeg alle at installere rettelsen. Og så er det også en god ide at opgradere til Internet Explorer 8, hvis det er muligt.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere