2min

Tags in dit artikel

, , ,

Een bug in de Windows-kernel wordt actief misbruikt in cyberaanvallen om een getroffen systeem volledig over te nemen. Het zero-daylek werd vorige week door Microsoft ontdekt en gepatcht.

Het lek is ontdekt door onderzoekers van Kaspersky Lab en werd ook al in het wild misbruikt voor Microsoft ervan op de hoogte werd gebracht. De onderzoekers ontdekten aanvallen tegen verschillende 64-bit Windows-systemen, gaande van “Windows 7 tot oudere builds van Windows 10.”

De bug werd vorige week door Microsoft aangepakt als onderdeel van de maandelijkse Patch Tuesday, samen met 73 andere fouten, waaronder nog een tweede zero-day. Updaten is dus de boodschap als dat nog niet is gebeurd.

Use-After-Free

De zogenaamde ‘Use-After-Free’-kwetsbaarheid (CVE-2019-0859) is aanwezig in de win32k.sys-kerneldriver en wordt veroorzaakt doordat objecten in het geheugen niet op een correcte manier worden verwerkt.

“Een aanvaller die misbruik maakt van dit beveiligingslek, kan willekeurige code uitvoeren in de kernelmodus”, waarschuwt Microsoft. “De aanvaller kan vervolgens programma’s installeren; gegevens bekijken, wijzigen of verwijderen; of nieuwe accounts met volledige gebruikersrechten aanmaken.”

Kortom: een succesvolle exploit geeft de aanvaller volledige controle over het systeem. Om de kwetsbaarheid te kunnen misbruiken, moet een aanvaller evenwel eerst op één of andere manier op het systeem binnen raken.

PowerShell

De Kaspersky-onderzoekers ontdekten dat de kwetsbaarheid actief werd misbruikt om “een triviale HTTP Reverse Shell”, ofwel een backdoor, te maken als onderdeel van een driefasige exploitprocedure via PowerShell.

Het gebruik van Powershell-scripts in cyberaanvallen is volgens het laatste trendrapport van Symantec vorig jaar met 1.000% toegenomen. Het bevestigt een trend die al langer bezig is, waarbij aanvallers gebruik maken van legitieme en vrij beschikbare tools en technieken (‘living-of-the-land’) om hun malware te verspreiden en een aanval zo lang mogelijk verborgen te houden.