Tijdens de patchdinsdag van oktober heeft Microsoft vier zero day-lekken verholpen die actief werden gebruikt om computers aan te vallen en tenminste twee van deze kwetsbaarheden zijn ook in Windows XP aanwezig. Windows XP wordt echter niet meer door Microsoft ondersteund en gebruikers ontvangen dan ook geen updates meer. Via het eerste zero day-lek in de Windowskernel kan een aanvaller zijn rechten op de computer verhogen.
Een aanvaller moet echter eerst via een ander lek toegang tot het systeem zien te krijgen. Uit onderzoek van beveiligingsbedrijf FireEye zou blijken dat aanvallers variaties van deze exploit al geruime tijd gebruiken. De kwetsbaarheid (CVE-2014-4113) is aanwezig in Windows 7, Vista, XP, Windows 2000, Windows Server 2003 en Server 2008. Windows 8 en Server 2012 zijn niet kwetsbaar.
Naast de bovengenoemde kwetsbaarheid die actief door aanvallers werd ingezet ontdekte FireEye ook nog een ander zero day-lek in de Windowskernel (CVE-2014-4148) die aanvallers gebruikten. Het beveiligingsbedrijf zegt geen aanwijzingen te hebben dat de twee lekken door dezelfde aanvallers werden gebruikt en spreekt over ongerelateerde aanvallen.
In dit geval maakten de aanvallers misbruik van een kwetsbaarheid in de manier waarop Windows het TrueType Font (TTF) verwerkt. Aanvallers hadden een kwaadaardig Office-document met een TTF gemaakt en gebruikt voor het aanvallen van een internationale organisatie. Zodra het bestand werd geopend kregen de aanvallers toegang op kernelniveau. De aanval is in theorie ook via een website uit te voeren, waarbij alleen het bezoeken van ee site met een kwetsbaar systeem voldoende is om besmet te raken.
De kwetsbaarheid is in zowel de 32-bit als 64-bit versies van Windows aanwezig, hoewel de wwaargenomen aanvallen alleen tegen 32-bit versies van Windows waren gericht. De malware in de exploit bevatte specifieke functies voor het aangevallen besturingssysteem. Zo waren er specifieke functies voor Windows 8.1, Windows 8, Windows 7 en Windows XP. Beide zero days zijn inmiddels via Security Bulletin MS14-058 gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.