‘Ontdekte Zero-day kwetsbaarheid in Windows OS al gebruikt in gerichte aanval’

18 december 2019

Kaspersky heeft onlangs een Windows zero-day-kwetsbaarheid ontdekt. Met de exploit gebaseerd op deze kwetsbaarheid, kregen aanvallers toegang tot hogere privileges op het aangevallen apparaat en konden de beveiligingsmechanismen in de Google Chrome-browser worden omzeild. De onlangs ontdekte exploit werd gebruikt in de kwaadaardigeOperation WizardOpium.  

Zero-day-kwetsbaarheden zijn tot dan toe onbekende bugs in software. Wanneer criminelen deze als eerste ontdekken, kunnen ze lange tijd ongemerkt handelen en daarmee ernstige en onverwachte schade veroorzaken. Normale beveiligingsoplossingen identificeren deze systeeminfectie namelijk niet en kunnen gebruikers niet beschermen tegen een bedreiging die nog moet worden herkend.
De nieuwe kwetsbaarheid in Windows is door onderzoekers van Kaspersky gevonden dankzij een andere zero-day exploit die Kaspersky’s Exploit Prevention technologie in november 2019 ontdekte in Google Chrome. Met deze exploit konden aanvallers een willekeurige code uitvoeren op de computer van het slachtoffer. Bij nader onderzoek naar deze operatie, die de experts ‘WizardOpium’ noemden, werd de andere kwetsbaarheid ontdekt, dit keer in Windows OS.
 
Een gedetailleerde analyse van de Elevation of Privileges (EoP) exploit liet zien dat de kwetsbaarheid waar misbruik van gemaakt was, hoort bij de win32k.sys driver. Er zou misbruik gemaakt kunnen worden van deze kwetsbaarheid bij de laatste gepatchte versies van Windows 7 en zelfs bij enkele builds van Windows 10 (nieuwe versies van Windows 10 zijn niet getroffen).
 
“Dit type aanval vereist enorme middelen, maar levert aanvallers erg veel op. Het aantal zero-days in het wild blijft groeien en deze trend zal waarschijnlijk niet meer verdwijnen. Organisaties moeten vertrouwen op de nieuwste beschikbare kennis over dreigingen en hebben beschermende technologieën nodig die proactief onbekende dreigingen kunnen opsporen, zoals zero-day exploits”, vertelt Jornt van der Wiel, beveiligingsexpert bij Kaspersky.
 
De kwetsbaarheid is bij Microsoft gemeld en gepatcht op 10 december 2019.
 
Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This