Artikel top billede

DK-CERT: Hul fra Kina-angreb er lukket

Spor i kildekoden tyder på, at ikke kun angrebet på Google, men også et af programmerne bag det kom fra Kina, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Den største it-sikkerhedshistorie i januar var utvivlsomt Googles oplysning om, at firmaet var blevet angrebet af hackere fra kinesiske IP-adresser.

Over 30 andre firmaer var udsat for lignende angreb.
Efter nogle dage viste det sig, at hackerne udnyttede et hidtil ukendt sikkerhedshul i Internet Explorer til at komme ind på ofrenes pc'er.

Rettelsen blev fremskyndet

Microsoft kendte allerede til sårbarheden, som firmaet blev gjort opmærksom på i september.

Derfor var Microsoft godt i gang med at udvikle en sikkerhedsrettelse, der skulle udsendes sammen med de øvrige rettelser i februar.

Men da sårbarheden nu blev offentligt kendt, gik der ikke lang tid, før eksempler på angrebsprogrammer var tilgængelige.

Derfor valgte Microsoft at udgive rettelsen før planlagt. Så den kom allerede den 21. januar.

En interessant detalje er, at rettelsen ikke kun lukker det aktuelle sikkerhedshul. Den fjerner også syv andre sårbarheder, som ikke har været offentligt kendt.

Aurora angreb IE 6

Den sårbarhed, der blev brugt i angrebet, er kendt som CVE-2010-0249.

Den opstår, når Internet Explorer prøver at tilgå memory, som er initialiseret forkert.

Angrebene mod Google og andre firmaer har fået navnet Aurora.

De brugte et angrebsprogram, der kun virkede under Internet Explorer 6. Angrebsprogrammet havde form som et link til en webside, der aktiverede sårbarheden. Herefter blev der installeret en trojansk hest på pc'en.

Nogle iagttagere har i øvrigt moret sig over, at der åbenbart må sidde nogen i Google, som bruger en for længst forældet version af konkurrentens browser.

De dystre spor fra Kina

Sikkerhedsforsker Joe Stewart har analyseret koden til det program, der blev installeret på de sårbare pc'er. Han har især kigget efter tegn på, om den ser ud til at være skrevet af kinesere.

Det ser det ikke umiddelbart ud til: Sprogindstillingerne i ressourcedelen af filen er således sat til engelsk.

Men han faldt over et mærkeligt valg af algoritme. Til en fejlkorrektionsalgoritme bruger programmet en metode, som adskiller sig fra normen.

Joe Stewart har søgt efter lignende algoritmer på nettet. Han har fundet nogle, og de stammer alle fra Kina.

Det officielle Kina har afvist at være involveret i angrebet.

Kan DEP slås fra?

Siden det første angrebsprogram blev offentliggjort har der været forlydender om, at det skulle være muligt at omgå DEP-beskyttelsen (Data Execution Prevention).

DEP findes i Vista og Windows 7. Funktionen forhindrer, at der kan køres programkode fra områder af memory, der er afsat til data.

Dermed beskytter funktionen mod udnyttelse af sårbarheden, hvis den er aktiveret.

Microsoft mener, at der nok findes angrebsprogrammer, som kan omgå DEP og udnytte sårbarheden. Men de er ikke set anvendt i praksis.

Under alle omstændigheder anbefaler jeg alle at installere rettelsen. Og så er det også en god ide at opgradere til Internet Explorer 8, hvis det er muligt.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere