Recent ontdekte Windows-kwetsbaarheid misbruikt voor gerichte aanval

Abonneer je gratis op Techzine!

Een nieuwe zero-day-kwetsbaarheid (CVE-2019-1458) in Windows OS, ontdekt door antivirusbedrijf Kaspersky is gebruikt tijdens de cyberaanval Operation WizardOpium. Met deze kwetsbaarheid kunnen kwaadwillenden de beveiligingsmechanismen in Google Chrome omzeilen.

De exploitpreventie van Kaspersky trof in november een zero-day aan die het mogelijk maakte om code uit te voeren op het systeem van een slachtoffer. Het ging in dat geval om een lek in Google Chrome. Bij het onderzoek naar deze zero-day trof Kaspersky een tweede exploit, die bij dezelfde aanval als de eerste is gebruikt.

De kwetsbaarheid maakt gebruik van de win32k.sys-kerneldriver op de laatste versies van Windows 7 en ook bij sommige versies van Windows 10. Nieuwe edities van Windows 10 zouden veilig zijn.

Kaspersky noemt het een ‘elevation of privileges’-exploit. Het geeft een indringer namelijk meer privileges in het systeem van het slachtoffer.

In december op de hoogte gebracht

Microsoft is in december op de hoogte gesteld van de zero-day. Het lek is gepatcht op 10 december. De aanvallers hebben de exploit gebruikt om in te breken op een Koreaanse website, van waaruit kwaadaardige code werd uitgevoerd bij bezoekers.

Het is bij Kaspersky nog niet duidelijk wie de aanvallen heeft uitgevoerd.

Kaspersky vond eerder dit jaar een andere exploit die misbruik maakte van win32k-sys. Het ging toen om de ‘Use-After-Free’-kwetsbaarheid (CVE-2019-0859), die werd veroorzaakt doordat objecten in het geheugen niet goed werden verwerkt.