Kaspersky Lab ontdekt opnieuw zwakheid in Windows

Het is de tweede keer in afgelopen maand dat zogeheten Automatic Exploit Preven­tion tech­no­logie van Kaspersky Lab een nieuwe zero-day exploit ontdekt in Microsoft Windows. Deze kwets­baar­heid in de software heeft het cyber­se­cu­ri­ty­be­drijf gemeld bij Microsoft waarna zij direct een bevei­li­gings­patch hebben aangebracht.

Aanvallen via een zero-day kwets­baar­heid maken misbruik van een nog niet ontdekte – en dus ook nog niet gere­pa­reerde – kwets­baar­heid in de software, waardoor ze moeilijk te detec­teren en te voorkomen zijn. Als crimi­nelen een derge­lijke zwakke plek ontdekken, kan dat worden gebruikt voor het maken van een exploit, een speciaal kwaad­aardig programma dat toegang geeft tot een volledig systeem. Dit aanvals­sce­nario wordt veel gebruikt bij ‘advanced persis­tent threat’ (APT) aanvallen, waarbij indrin­gers voor langere tijd ongemerkt toegang krijgen tot een systeem.

De door Kaspersky Lab uitge­voerde analyse van de nieuwe exploit heeft de experts naar een tot dusverre onbekend zero-day-lek geleid. Hoewel de bezorg­me­thode nog niet bekend is, staat vast dat de exploit is uitge­voerd in de eerste fase van een malware-instal­la­tie­pro­gramma om benodigde rechten voor het systeem te verkrijgen. Alleen de 32-bits versie van Windows 7 is ontvan­ke­lijk voor de exploit.

Onduidelijk

Het is volgens Kaspersky Lab niet duidelijk wie er achter de aanvallen zit, maar minstens één APT-actor heeft de ontwik­kelde exploit gebruikt.

Begin oktober had Kaspersky Lab ook al een exploit van een zero-day-lek ontdekt in de Microsoft Windows software. Deze exploit werd bezorgd via een PowerS­hell-backdoor. Ook die dreiging is direct gemeld bij Microsoft.

“Zero-day-lekken komen dit najaar helaas vaker op ons vizier”, zegt Jornt van der Wiel, bevei­li­gings­des­kun­dige bij Kaspersky Lab. “Binnen een maand tijd hebben we er twee ontdekt, én twee aanvals­reeksen in dezelfde regio. De onop­val­lende modus operandi van cyber­drei­gings­ac­toren maakt dat het voor bedrijven van cruciaal belang is dat ze over tools en oplos­singen beschikken die slim genoeg zijn om hen te beschermen tegen zulke geavan­ceerde aanvallen. Zonder de juiste hulp­mid­delen, worden ze het slacht­offer van complexe aanvallen die uit het niets lijken te komen.”

Voorkomen

Om zero-day exploits te voorkomen, adviseert Kaspersky Lab de volgende maatregelen:

• Indien mogelijk, vermijd software die als kwetsbaar bekend staat of in het recente verleden met cyber­aan­vallen in verband is gebracht;
• Zorg ervoor, dat software wordt gebruikt die regel­matig wordt bijge­werkt naar de meest recente versie. Bevei­li­gings­pro­ducten met kwets­baar­heids­be­oor­de­ling en patch­be­heer kunnen helpen met de auto­ma­ti­se­ring van deze processen;
• Gebruik een robuuste bevei­li­gings­op­los­sing die is uitgerust met geavan­ceerde detec­tie­mo­ge­lijk­heden voor effec­tieve bescher­ming tegen bekende en onbekende drei­gingen, waaronder exploits;
• Maak gebruik van uw bedrijf het doelwit van gerichte aanvallen zou kunnen worden, gebruik dan geavan­ceerde bevei­li­gingstools als Kaspersky Anti Targeted Attack Platform (KATA) als er sprake is van gerichte cyberaanvallen;
• Zorg dat de meest recente bevei­li­gings­in­for­matie toegan­ke­lijk is voor relevante betrokkenen.