Een zero day-lek in Silverlight is vorig jaar gebruikt voor aanvallen op Windowsgebruikers, hoewel Microsoft zegt dat het niet met dergelijke aanvallen bekend is. De kwetsbaarheid werd door het Russische anti-virusbedrijf Kaspersky Lab ontdekt en gisterenavond door Microsoft gepatcht.
Silverlight is de browserplug-in van Microsoft voor het afspelen van online videocontent. In Security Bulletin MS16-006 stelt Microsoft echter dat het niet met aanvallen op Windowsgebruikers bekend is. Vandaag publiceerde Kaspersky Lab een artikel over hoe het de kwetsbaarheid ontdekte en hoe die bij aanvallen was ingezet. Het begon naar aanleiding van een artikel van Ars Technica over het gehackte Italiaanse bedrijf Hacking Team. Uit de e-mails die van het bedrijf online waren gezet bleek dat een onderzoeker genaamd Vitaliy Toropov een exploit voor een onbekend Silverlight-lek had aangeboden.
De naam van Toropov werd ook op de website van de Open Source Vulnerability Database (OSVDB) aangetroffen. Via deze database kunnen mensen informatie over kwetsbaarheden uitwisselen. In 2013 had Toropov een exploit voor een lek in Silverlight gepubliceerd. Het lek was inmiddels gepatcht, maar de exploit bevatte ook details over hoe Toropov zijn code schreef. Kaspersky ontwikkelde speciale detectieregels als bepaalde coderegels van Toropov bij gebruikers van Kaspersky anti-virus werden aangetroffen.
De kans bestond namelijk dat Toropov zijn nieuwe Silverlight-aanval naast Hacking Team ook aan andere partijen aanbood. Via de detectieregels kon die dan worden gevonden. Een aantal maanden na de implementatie van de detectieregels werd een Kaspersky-gebruiker aangevallen door een bestand waarop de detectieregels alarm sloegen. Een aantal uren later werd door een gebruiker in Laos een bestand met dezelfde eigenschappen naar een online virusscannerdienst geupload. Uit de analyse van het bestand bleek dat die een onbekende kwetsbaarheid in Microsoft Silverlight gebruikte.
Kaspersky Lab besloot vervolgens Microsoft te waarschuwen, dat de kwetsbaarheid gisteren patchte. Volgens Costin Raiu van Kaspersky Lab kan niet met zekerheid worden gezegd dat de nu gepatchte kwetsbaarheid ook door Toropov was ontdekt, maar de kans is volgens hem zeer groot. Aangezien de kwetsbaarheid tijdens een aanval op gebruikers werd gevonden blijft het de vraag hoe het kan dat Microsoft met deze aanvallen onbekend is. We hebben zowel Kaspersky als Microsoft dan ook om een reactie gevraagd.
Kaspersky Lab laat in een reactie aan Security.NL weten dat het Microsoft over de aanvallen heeft ingelicht.
Microsoft wijst in een reactie aan Security.NL naar het Security Bulletin en blijft bij het standpunt dat het niet bekend was met aanvallen waarbij het Silverlight-lek werd ingezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.