Hacking Team gehackt: de gevolgen

Hacking Team gehackt: de gevolgen

DearBytesAlertsHacking Team gehackt: de gevolgen

Wat is er aan de hand?

In de nacht van 5 op 6 juli is een grote hoeveelheid gegevens van het bedrijf Hacking Team publiek gemaakt. De data bevat onder andere mailboxen, intranet pagina’s, broncode en documentatie. Hacking Team levert software waarmee overheden en bedrijven systemen kunnen infiltreren of verbindingen kunnen afluisteren. Om de klanten van Hacking Team toegang te verschaffen tot de systemen van doelwitten, ontwikkelt en verkoopt Hacking Team exploits voor nog onbekende kwetsbaarheden. De publiek gemaakte data van Hacking Team bevat dan ook een aantal onbekende kwetsbaarheden, zogenoemde zero day kwetsbaarheden (exploits). Het risico wat nu ontstaat is dat kwaadwillende de broncode en notities over deze kwetsbaarheden inzetten voor eigen doeleinden. Zo hebben verschillende populaire exploit-kits de nieuw ontdekte flash kwetsbaarheid geïmplementeerd. Met als resultaat dat grote hoeveelheden internet gebruikers bij het bezoeken van een website geïnfecteerd kunnen worden met bijvoorbeeld ransomware, of onderdeel worden gemaakt van een botnet.

Wat is er allemaal gevonden?

Deze pagina beschrijft de zeroday kwetsbaarheden die aangetroffen zijn in de bestanden van Hacking Team. Het grootste aantal aangetroffen kwetsbaarheden zijn aanwezig in Flash. Deze  zijn populair bij criminelen omdat een kwetsbaarheid in Flash betekent dat verschillende browsers aangevallen kunnen worden. Dit in tegenstelling tot een kwetsbaarheid in Internet Explorer, welke logischerwijs alleen toegang biedt tot gebruikers van Internet Explorer. Daarnaast wordt Flash wereldwijd veel gebruikt, wat de kans van slagen groot maakt.

De volgende Flash kwetsbaarheden zijn vooralsnog aangetroffen:

  • CVE-2015-5119 aanvallen op flash 18.0.0.194 en lager
  • CVE-2015-5122 aanvallen op flash 18.0.0.203 en lager
  • CVE-2015-5123 aanvallen op flash 18.0.0.204 en lager
hacking team de gevolgen

Screenshot Proof-of-concept van de dump (Flash)

Verder bevat de informatie een werkende exploit voor de Microsoft Windows kwetsbaarheid MS15-077 (CVE-2015-2387). Hiermee is het mogelijk om als reguliere gebruiker hogere rechten op Windows systemen te bemachtigen. De kwetsbaarheid staat uitgebreid beschreven op het blog van TrendMicro. De werkende code kwam aan het licht toen e-mails tussen Eugene Ching (Qavar security) en Hacking Team publiek werden gemaakt. Er is een volledige Proof-of-concept beschikbaar. Dit betekent dat de kwetsbaarheid snel in publieke aanvallen ingezet kan worden.

Update 20-07: De kwetsbaarheid CVE-2015-2387 blijkt met MS15-077 onvoldoende gedicht, om deze reden  heeft Microsoft  een out-of-band  patch  gepubliceerd. De update MS15-078 is vanaf nu beschikbaar voor iedere Windows gebruiker.

De combinatie van zeer nieuwe kwetsbaarheden en goed gedocumenteerde code maakt dat het voor criminelen eenvoudig is de code aan te passen voor eigen doeleinden. Niet alleen onbekende maar ook bekende kwetsbaarheden zullen door criminelen ingezet worden om malware te verspreiden.
De broncode van de backdoor die Hacking Team gebruikte is publiek gemaakt, dit helpt antivirus organisaties de backdoor te detecteren. Maar dit helpt criminelen net zo goed om hun eigen backdoors te verbeteren door bepaalde functionaliteiten te kopiëren en om ideeën op te doen. De VM detectie functionaliteit kan bijvoorbeeld door malware gebruikt worden om detectie te voorkomen.

Op 14 juli werd nog een ontdekking gedaan in de email conversaties van Hacking Team. Een security researcher vraagt het bedrijf of zij geïnteresseerd is een Proof-of-concept voor een Internet Explorer kwetsbaarheid. De mailconversatie bevat code om een Use After Free kwetsbaarheid uit te buiten in de nieuwste versie van Internet Explorer. De data dump lijkt geen werkende exploit te bevatten, maar bevat wel genoeg informatie om een exploit te ontwikkelen. Microsoft heeft een patch uitgebracht om de kwetsbaarheid te verhelpen: MS15-065.