image

Zero day-lek in Windows aangevallen via besmette advertenties

vrijdag 24 maart 2017, 11:46 door Redactie, 2 reacties

Een zero day-lek in Windows waarvoor deze maand een beveiligingsupdate verscheen is sinds vorig jaar juli door besmette advertenties aangevallen. De kwetsbaarheid, die in september vorig jaar aan Microsoft werd gerapporteerd, laat een aanvaller informatie over bestanden op de computer achterhalen.

Op deze manier kan een aanvaller bijvoorbeeld kijken welke beveiligingssoftware iemand gebruikt en of er software aanwezig is om malware mee te analyseren. Bij de waargenomen aanvallen controleerden de aanvallers of er op aangevallen systemen geen sandbox zoals VirtualBox of VMWare, analysetools zoals Wireshark en Fiddler, en anti-virussoftware van Bitdefender en ESET draaide. Op deze manier konden de aanvallers hun aanvallen voor anti-virusbedrijven en beveiligingsonderzoekers verbergen, zo meldt anti-virusbedrijf Trend Micro.

Het beveiligingslek was aanwezig in alle ondersteunde versies van Windows. Volgens Microsoft zou een aanvaller de kwetsbaarheid via Internet Explorer kunnen uitbuiten. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie was in dit geval voldoende. In eerste instantie werd het zero day-lek gebruikt door een campagne van cybercriminelen genaamd "AdGholas", waarbij besmette advertenties worden gebruikt om internetgebruikers met malware te infecteren. Bij deze specifieke campagne zijn eerder ook zero day-lekken in Edge en IE ingezet.

Later werd het lek ook aan de Neutrino-exploitkit toegevoegd. De kwetsbaarheid alleen was niet voldoende voor een aanvaller om systemen met malware te infecteren. Hiervoor was een tweede lek vereist. De Neutrino-exploitkit maakt bijvoorbeeld gebruik van bekende kwetsbaarheden in Adobe Flash Player. Als gebruikers de software op hun computer up-to-date hadden konden ze ondanks het zero day-lek in Windows niet via de besmette advertenties besmet raken.

Image

Reacties (2)
24-03-2017, 13:08 door Anoniem
Daarom gebruik ik een adblocker. Sites die daarover zeuren, vergeten dat hun type advertenties juist problemen kunnen veroorzaken.
24-03-2017, 14:33 door Anoniem
Prachtig, de Adblocker, maar niet altijd geactualiseerd. Ik zag op de website van RTV Utrecht twee weken lang tòch een adverteerder. En elke dag ontdekt SuperAntiSpyware dat Google een tracking cookie plaatst - hetgeen overigens illegaal is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.