Onderzoeker vindt beveiligingslek in DarkComet-malware

[Captain Kirk]

Een beveiligingsonderzoeker heeft een kwetsbaarheid in de DarkComet-malware gevonden waardoor het mogelijk is om willekeurige code op DarkComet-servers uit te voeren waarmee besmette machines worden aangestuurd. Zodoende kan de server op afstand worden overgenomen.

DarkComet is een remote administration tool (RAT) waarmee het mogelijk is om volledige controle over besmette computers te krijgen. Eenmaal actief op een computer kan de aanvaller via DarkComet bijvoorbeeld met de webcam van het slachtoffer meekijken. In 2016 werd een Rotterdamse man die tweeduizend computers met deze malware infecteerde nog tot een gevangenisstraf veroordeeld. De malware is in het verleden ook door repressieve regimes gebruikt. De ontwikkelaar van DarkComet besloot de ondersteuning van de RAT in 2012 te staken, nadat het was gebruikt om Syrische activisten te bespioneren. Toch wordt het programma nog altijd gebruikt om internetgebruikers mee te infecteren.

De DarkComet-server waarmee de aanvaller besmette computers aanstuurt bevat echter een uploadkwetsbaarheid. Daardoor is het mogelijk om bestanden op de server te plaatsen en die bij een herstart van de server uit te laten voeren. Op deze manier kan de server worden overgenomen. De beveiligingsonderzoeker die de kwetsbaarheid ontdekte merkt op dat "het hacken van een command & control-server mogelijk moreel gerechtvaardigd lijkt, maar dit nog steeds illegaal is." Het wordt dan ook afgeraden dit te doen.

 

 

bron: security.nl