G Data: Windowsgebruiker moet optionele UAC-patch installeren
Windowsgebruikers doen er verstandig aan om een optionele update voor Windows te installeren, anders kan malware een truc gebruiken om onopgemerkt beheerdersrechten op de computer te krijgen, zo adviseert het Duitse anti-virusbedrijf G Data. Aanleiding is de verspreiding van de Dridex-malware.
Dit is een Trojaans paard dat onlangs nog in België voor grote schade zorgde door het banksysteem aan te vallen dat Belgische bedrijven gebruiken. De malware verspreidt zich via e-mail en een MHTML-document. Dit document bevat een macro die een "downloader" probeert te downloaden. Deze downloader zal de uiteindelijke malware op het systeem plaatsen. Als de gebruiker macro's in Microsoft Office inschakelt wordt de downloader ook gedownload. Om beheerdersrechten op de computer te krijgen probeert de downloader het UAC-venster te omzeilen.
Windows User Account Control (UAC) is een beveiligingsmaatregel die volgens Microsoft computers tegen "hackers en kwaadaardige software" moet beschermen. Als software of een gebruiker bepaalde Windowsinstellingen wil wijzigen of acties probeert uit te voeren die beheerdersrechten vereisen verschijnt er een UAC-waarschuwing. De downloader past volgens G Data een populaire truc toe om de UAC-waarschuwing te verbergen. Het gebruikt hiervoor een aangepast SDB-bestand. In dit geval zal Windows namelijk geen UAC-venster tonen.
Microsoft heeft een patch ontwikkeld die ervoor zorgt dat de UAC-waarschuwing in dit geval ook wordt getoond, maar het gaat hier om een optionele update. "De malwaremakers maken misbruik van een zwakte in Microsofts besturingssysteem om zonder het tonen van de UAC-melding systeembeheerder te worden. Daarom adviseren we nadrukkelijk om de Microsoft-patch te installeren, ook al bestempelt Microsoft het niet als een vereiste patch", aldus het Duitse anti-virusbedrijf. Daarnaast krijgen gebruikers het advies om geen e-mailbijlagen van onbekende afzenders te openen en geen macro's in buitenlandse documenten in te schakelen.
Microsoft heeft een patch ontwikkeld die ervoor zorgt dat de UAC-waarschuwing in dit geval ook wordt getoond, maar het gaat hier om een optionele update.
You can find more information about this UAC issue the Microsoft website. The patch mentioned on this web page is considered to be optional by Microsoft.
[...]
Concerning this point, we strongly suggest installing the Microsoft patch KB3045645, even if Microsoft does not estimate it as a required patch.
Opvallend is dat KB3045645 (https://support.microsoft.com/en-us/kb/3045645) op mijn Windows 7 systeem momenteel niet wordt aangeboden via Windows Update, ook niet als optionele update. Dit in afwijking van wat Microsoft stelt, "This update is available from Windows Update."
(Ik weet niet hoe dat is voor Windows 8, Server 2008 R2 en Server 2012.)
(Voor Vista is KB3045645 niet beschikbaar.)
UPDATE 17:00 uur:
KB3045645 blijkt al te zijn geïnstalleerd, namelijk al op Patch Tuesday 12-5-2015.
KB3045645 blijkt te zijn ingestalleerd als Aanbevolen update, niet als Optionele update.
Mogelijk was KB3045645 "Optioneel" voorafgaand aan 12-5-2015, maar tenminste sinds Patch Tuesday 12-5-2015 is het een "Aanbevolen" update.
Enkel wie in Windows Update de standaard-instelling "Aanbevolen updates op dezelfde manier ontvangen als belangrijke updates" heeft uitgeschakeld, die krijgt KB3045645 niet automatisch aangeboden ter installatie.
Zie ook mijn post van 16:49 uur, hieronder.
Spiff kan het niet zijn dat je hem al geïnstalleerd hebt (ik heb hem zelf 1 mei geïnstalleerd).
Dat was ook mijn eerste gedachte.
Maar optionele Windows updates heb ik niet geïnstalleerd, en in "Geschiedenis van updates" en "Geïnstalleerde updates" vond ik door middel van de zoekfunctie KB3045645 niet terug.
Die zoekfunctie blijkt echter niet te deugen, zo zie ik nu bij op het oog nalopen van de "Geschiedenis van updates".
KB3045645 blijkt wel degelijk te zijn geïnstalleerd, namelijk op Patch Tuesday 12-5-2015, als Aanbevolen update.
Dankjewel voor je hint en aanwijzing, alexander038.
G Data schept dus verwarring door een door Microsoft als "Aanbevolen" bestempelde update te benoemen als "Optioneel". Mogelijk was KB3045645 "Optioneel" voorafgaand aan 12-5-2015, maar tenminste sinds Patch Tuesday 12-5-2015 is het een "Aanbevolen" update.
Enkel wie in Windows Update de standaard-instelling "Aanbevolen updates op dezelfde manier ontvangen als belangrijke updates" heeft uitgeschakeld, die krijgt KB3045645 niet automatisch aangeboden ter installatie.
Mysterie opgelost dus,
maar slordig van G Data, vind ik.
Deze update KB3045645 dus als aanbevolen, omdat ik al sinds enige tijd geen
optionele en aanbevolen meer installeer, heb ik die dus verborgen.
Nu las ik dit artikel via Google, en ik vroeg me af, als je een Admin en een Standard
Account{ dankzij Spiff } hebt, dan heb je deze update toch niet nodig ?
Dat UAC komt toch alleen tevoorschijn als je dit niet hebt.
Ik heb toch de update maar binnengehaald, en gelijk aanbevolen maar weer aangevinkt.
Maar wel naar updates zoeken maar laat mij bepalen of ik ze wil downloaden en installeren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
