Ransomware gebruikt Windows-lek om rechten te verhogen
Onderzoekers hebben een exemplaar van de Sodinokibi-ransomware ontdekt die een beveiligingslek in Windows gebruikt om de hoogst mogelijke rechten op het systeem te krijgen. De kwetsbaarheid werd op 9 oktober vorig jaar door Microsoft gepatcht en was daarvoor al bij zerodayaanvallen gebruikt.
De Sodinokibi-ransomware kwam eerder in het nieuws omdat het een kwetsbaarheid in Oracle WebLogic-servers gebruikte om zich te verspreiden en dat klanten van een gecompromitteerde managed service provider (MSP) met deze ransomware werden besmet. De nu ontdekte versie maakt misbruik van een kwetsbaarheid in het Win32k-component van Windows. Alle ondersteunde versies van Windows waren kwetsbaar voordat de update in oktober vorig jaar verscheen.
Via de kwetsbaarheid kan de ransomware systeemrechten verkrijgen. Volgens antivirusbedrijf Kaspersky komt het zelden voor dat ransomware een beveiligingslek gebruikt om de eigen rechten te verhogen. Eind vorig jaar werd echter een versie van de GandCrab-ransomware aangetroffen die deze tactiek ook toepaste. Door het verkrijgen van systeemrechten kan ransomware bestanden versleutelen zonder dat anti-virussoftware dit proces kan stoppen.
Malware in het algemeen zal dit zeker gebruiken, maar het doel van ransomware is het versleutelen van bestanden. Dit kan ook met normale gebruikersrechten, dus waarom zou je als ransomware-maker energie stoppen in het verhogen van de rechten?
Malware in het algemeen zal dit zeker gebruiken, maar het doel van ransomware is het versleutelen van bestanden. Dit kan ook met normale gebruikersrechten, dus waarom zou je als ransomware-maker energie stoppen in het verhogen van de rechten?
De reden ransomware dit doet, is eventueel voor bestanden die niet met gebruikersrechten te versleutelen zijn, ook ligt het eraan voor de ransomware maker, maar ook kan de ransomware zichzelf excluding van windows defender scanlist en ook andere AV omzeilen.
Als je hierdoor alsnog getroffen wordt, is dit eigenlijk een beetje 'eigen schuld dikke bult' imho.
Ja, ik weet dat de IT afdeling of 3rd party niet altijd de middelen heeft of krijgt om alles snel te verhelpen, maar een potentieel gevaar zo lang open laten staan in vragen om narigheid.
Als je hierdoor alsnog getroffen wordt, is dit eigenlijk een beetje 'eigen schuld dikke bult' imho.
Ja, ik weet dat de IT afdeling of 3rd party niet altijd de middelen heeft of krijgt om alles snel te verhelpen, maar een potentieel gevaar zo lang open laten staan in vragen om narigheid.
Dat is op zich waar maar je moet bedenken dat die IT afdelingen of 3rd parties ondertussen helemaal overwerkt zijn geraakt door alle Microsoft Windows problemen. Die zien door de bomen het bos niet meer.
Dat is op zich waar maar je moet bedenken dat die IT afdelingen of 3rd parties ondertussen helemaal overwerkt zijn geraakt door alle Microsoft Windows problemen. Die zien door de bomen het bos niet meer.
Dan zoek je de schuld toch ergens anders.. Wel sneu om zo leugenachtig te zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
