Een zero day-lek in Windows waarvoor deze maand een beveiligingsupdate verscheen is sinds vorig jaar juli door besmette advertenties aangevallen. De kwetsbaarheid, die in september vorig jaar aan Microsoft werd gerapporteerd, laat een aanvaller informatie over bestanden op de computer achterhalen.
Op deze manier kan een aanvaller bijvoorbeeld kijken welke beveiligingssoftware iemand gebruikt en of er software aanwezig is om malware mee te analyseren. Bij de waargenomen aanvallen controleerden de aanvallers of er op aangevallen systemen geen sandbox zoals VirtualBox of VMWare, analysetools zoals Wireshark en Fiddler, en anti-virussoftware van Bitdefender en ESET draaide. Op deze manier konden de aanvallers hun aanvallen voor anti-virusbedrijven en beveiligingsonderzoekers verbergen, zo meldt anti-virusbedrijf Trend Micro.
Het beveiligingslek was aanwezig in alle ondersteunde versies van Windows. Volgens Microsoft zou een aanvaller de kwetsbaarheid via Internet Explorer kunnen uitbuiten. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie was in dit geval voldoende. In eerste instantie werd het zero day-lek gebruikt door een campagne van cybercriminelen genaamd "AdGholas", waarbij besmette advertenties worden gebruikt om internetgebruikers met malware te infecteren. Bij deze specifieke campagne zijn eerder ook zero day-lekken in Edge en IE ingezet.
Later werd het lek ook aan de Neutrino-exploitkit toegevoegd. De kwetsbaarheid alleen was niet voldoende voor een aanvaller om systemen met malware te infecteren. Hiervoor was een tweede lek vereist. De Neutrino-exploitkit maakt bijvoorbeeld gebruik van bekende kwetsbaarheden in Adobe Flash Player. Als gebruikers de software op hun computer up-to-date hadden konden ze ondanks het zero day-lek in Windows niet via de besmette advertenties besmet raken.
Deze posting is gelocked. Reageren is niet meer mogelijk.