Hackers αποκτούν πρόσβαση σε πιστοποιητικό του Opera και υπογράφουν malware μολύνοντας χρήστες Windows

[nnn]

Σημαντική παραβίαση της εσωτερικής ασφάλειας της Opera αποκαλύφθηκε την Τετάρτη, με την εταιρία να λέει πως hackers κατάφεραν να αποκτήσουν πρόσβαση σε τουλάχιστον ένα πιστοποιητικό υπογραφής κώδικα, κάτι που τους έδωσε την δυνατότητα να υπογράψουν ψηφιακά κακόβουλο λογισμικό.

Στο blog post αναφέρεται πως η πρόσβαση αποκτήθηκε στις 01:00 UTC στις 19 Ιουνίου και έγινε αντιληπτή και μπλοκαρίστηκε στις 01:36 UTC της ίδιας μέρας, και πιστεύεται πως μερικές χιλιάδες χρήστες Windows έπεσαν θύματα μόλυνσης.

Στο blog post υπάρχει link στο γνωστό site VirusTotal στο οποίο φαίνεται το SHA256 hash που πιστεύεται πως είναι το malware το οποίο εντοπίζεται για την ώρα από τουλάχιστον τα μισά antivirus.

Σύμφωνα με την Opera το πιστοποιητικό έχει ήδη λήξει και το σύστημα της είναι πλέον καθαρό.

Πηγή : Infoworld

[intech]

Ελπίζω να είναι ετσι. Πάντως μου έκανε εντύπωση η γρήγορη αντίδραση. 01:00 UTC 01:36 UTC
Μήπως είναι διαφήμιση?

[aiolos.01]

Καλά, το έκαναν revoke σε μισή ώρα και πρόλαβαν να το χρησιμοποιήσουν για να μολύνουν χιλιάδες pc; Αυτή είναι ταχύτητα. Να τους πάρουμε στο Ελληνικό δημόσιο.

[E_lectron]

Μια τέτοια επίθεση θα μπορούσε να γίνει λόγος υποκλοπής στοιχείων συγχρονισμού, (σελιδοδείκτες,passwords, κλπ), των χρηστών της Opera;

[8anos]

απο οτι καταλαβαίνω για να έχει πρόβλημα κάποιος θα πρέπει την δεδομένη χρονική περίοδο, 04.00 με 04.36 το πρωϊ ωρα Ελλάδας στις 19 Ιουνίου, να εγκατέστησε την προβληματική έκδοση του οπερα.

[dpa2006]

και τι κάνουμε σε αυτήν την περίπτωση;τον απεγκαθιστούμε ή έχουν βγάλει patch;

[8anos]

Εαν έχεις εγκαταστήσει τη συγκεκριμένη βλαμμένη έκδοση..
κάνεις εγκατάσταση τη καθαρή έκδοση που υπάρχει στους διακομιστές του οπερα
χρησιμοποιείς ενα απο τα αντιικα που φαίνεται να αναγνωρίζουν το κακόβουλο πρόγραμμα και ελέγχεις τον υπολογιστή σου

[mrsaccess]

απο οτι καταλαβαίνω για να έχει πρόβλημα κάποιος θα πρέπει την δεδομένη χρονική περίοδο, 04.00 με 04.36 το πρωϊ ωρα Ελλάδας στις 19 Ιουνίου, να εγκατέστησε την προβληματική έκδοση του οπερα.

Εγώ κατάλαβα πως το malware έμπαινε μόνο του, ως αυτόματο update του Opera, χωρίς να κάνει κάτι ο χρήστης.

[8anos]

η αυτοματη ενημερωση του οπερα δεν γινεται οπως στον κροομ, στο παρασκηνιο, απαιτεί και τη συγκαταθεση του χρήστη, δεν ειναι και τόσο αυτοματη

[mrsaccess]

Πάλι όμως, αν το σκεφτείς δεν την πάτησαν μόνο όσοι εγκατέστησαν τον Opera μέσα σε αυτό το χρονικό διάστημα αλλά κυρίως όσοι πάτησαν το «ναι, κάνε update». Κάποιες χιλιάδες δηλαδή όπως αναφέρει και η ανακοίνωση της Opera.

[8anos]

Ναι, ετσι είναι.

[no_logo]

απο οτι καταλαβαίνω για να έχει πρόβλημα κάποιος θα πρέπει την δεδομένη χρονική περίοδο, 04.00 με 04.36 το πρωϊ ωρα Ελλάδας στις 19 Ιουνίου, να εγκατέστησε την προβληματική έκδοση του οπερα.

η αυτοματη ενημερωση του οπερα δεν γινεται οπως στον κροομ, στο παρασκηνιο, απαιτεί και τη συγκαταθεση του χρήστη, δεν ειναι και τόσο αυτοματη

Πάλι όμως, αν το σκεφτείς δεν την πάτησαν μόνο όσοι εγκατέστησαν τον Opera μέσα σε αυτό το χρονικό διάστημα αλλά κυρίως όσοι πάτησαν το «ναι, κάνε update». Κάποιες χιλιάδες δηλαδή όπως αναφέρει και η ανακοίνωση της Opera.

Ναι, ετσι είναι.

όχι δεν είναι έτσι
Δες τις επεξηγήσεις του opera dev στο http://my.opera.com/securitygroup/bl...ructure-attack

Did you mean to say "who were *installing* Opera between" those hours? Meaning that the Opera installer was impacted for a short time? Because otherwise I don't understand how using Opera would be related to what happened.


tl;dr: We meant "who were using".

In recent Opera versions, autoupdate happens automatically, and without user interaction. If you look at the "Additional information" tab of the virustotal link in the post, you can see what file name the malware disguised itself under. If there is a redirection in front of one of our autoupdate servers, users can be sent to locations we have no control over.

We know what time period this redirect was in place for, and we know how many users were sent to the affected server, but we have no way of identifying these users. We also have no way of knowing what happened to them once they were redirected away, but we have strong reasons to believe at least some of them were presented with malware. Even for users who were presented with malware, we don't know how many actually installed it, it might have failed due to issues with the certificate, being blocked by anti-virus, or due to problems with the connection or download. Unfortunately, not all versions of Windows check the certificate, and some users may have disabled the UAC protection. All we have is an upper bound of several thousand possibly-affected users.

Δεν αφορά τον installer αλλά τα browser js που γίνονται περιοδικά update και μπαίνουν αυτόματα

[8anos]

ναι διαβασα για την δυνατοτητα αυτοματης ενημερωσης στα προτυπα του κροομ και μου εκανε εντύπωση
Την επομενη φορα θα δώσω προσοχή αν και ειμαι σχεδον σιγουρος οτι παντα με ρωταει, ισως φταίει η "-noautoupdate" παραμετρος που φαίνεται στο installation_status.xml
η εγκατασταση εχει γινει σε λογαριασμό με περιορισμένα δικαιώματα, απο χρήστη με περιορισμένα δικαιώματα

<key path="Software\Classes\OperaNext\shell\open\command" clean="2">
<value name="" type="REG_SZ">&quot;C:\Users\thanos\AppData\Local\Programs\OperaNext\Launcher.exe&quot; -noautoupdate &quot;%1&quot;</value>
</key>

[dpa2006]

Εαν έχεις εγκαταστήσει τη συγκεκριμένη βλαμμένη έκδοση..
κάνεις εγκατάσταση τη καθαρή έκδοση που υπάρχει στους διακομιστές του οπερα
χρησιμοποιείς ενα απο τα αντιικα που φαίνεται να αναγνωρίζουν το κακόβουλο πρόγραμμα και ελέγχεις τον υπολογιστή σου

ευχαριστώ για την απάντηση.

[kostarcng]

Από ότι κατάλαβα, έγινε η όπερα, σαπουνόπερα.