Google onthult actief aangevallen zerodaylek in Windows-kernel
Google heeft details openbaar gemaakt over een zerodaylek in de Windows-kernel dat actief wordt aangevallen en een beveiligingsupdate van Microsoft is nog niet beschikbaar. Mogelijk is het Windows-lek in combinatie met een ander zerodaylek gebruikt om Chrome-gebruikers aan te vallen.
Via de kwetsbaarheid die in Windows 7 tot Windows 10 aanwezig is kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen of uit een sandbox ontsnappen. Het beveiligingslek werd op 22 oktober aan Microsoft gerapporteerd. Normaliter geeft Google ontwikkelaars en bedrijven negentig dagen de tijd om gerapporteerde kwetsbaarheden te verhelpen. Aangezien het om een actief aangevallen beveiligingslek gaat hanteert Google een deadline van zeven dagen.
Microsoft heeft in die zeven dagen geen beveiligingsupdate uitgebracht, waarop Google de details van het lek, aangeduid als CVE-2020-17087, openbaar maakte. Google verwacht dat er op 10 november een update voor de kwetsbaarheid zal verschijnen. Microsoft brengt elke tweede dinsdag van elke maand beveiligingsupdates uit en wijkt daar alleen vanaf als kwetsbaarheden bijvoorbeeld op grote schaal worden aangevallen. Volgens Google is het lek bij gerichte aangevallen ingezet. Het door Google onthulde zerodaylek kan daarnaast alleen in combinatie met een ander lek of vanaf een al gecompromitteerd systeem worden gebruikt, wat de impact beperkt.
Op dinsdag 20 oktober patchte Google een actief aangevallen zerodaylek in Chrome. Die kwetsbaarheid alleen is niet voldoende om systemen te compromitteren en moet voor dat doel met een ander lek worden gecombineerd. Het kan dan om het nu onthulde zerodaylek in Windows gaan. Vorig jaar werd een soortgelijk lek in Windows gecombineerd met een Chrome-lek om gebruikers van Googles browser aan te vallen.
De “actieve” aanvallen bestaan uit twee fases: 1. Een actieve aanval op een Google Chrome beveiligingslek, 2.
Vervolgens kon er een aanval op het Microsoft lek plaatsvinden.
Als Chrome up-to-date is dan hebben deze actieve aanvallen dus geen effect.
Tuurlijk, er zit een lek in Microsoft Windows, MS moet deze idd dichten, maar dit lek is NIET actief aangevallen. Het lek in Chrome is wel actief aangevallen.
Wel heel slim van Google Marketing om de nadruk van de actief aangevallen Chrome bug te verleggen naar een Microsoft beveiligingslek, maar trap er niet in!
Bedrijven die kwetsbaarheden als marketing gebruiken zijn w.m.b. fout bezig.
Maar ja als je elkaar wat kapot kan maken.....
De “actieve” aanvallen bestaan uit twee fases: 1. Een actieve aanval op een Google Chrome beveiligingslek, 2.
Vervolgens kon er een aanval op het Microsoft lek plaatsvinden.
Als Chrome up-to-date is dan hebben deze actieve aanvallen dus geen effect.
Tuurlijk, er zit een lek in Microsoft Windows, MS moet deze idd dichten, maar dit lek is NIET actief aangevallen. Het lek in Chrome is wel actief aangevallen.
Wel heel slim van Google Marketing om de nadruk van de actief aangevallen Chrome bug te verleggen naar een Microsoft beveiligingslek, maar trap er niet in!
Bedrijven die kwetsbaarheden als marketing gebruiken zijn w.m.b. fout bezig.
Maar de aanval had wel effect op Chrome omdat er ook een zeroday in Chrome zat. Dus ook al was Chrome up-to-date, had je nog steeds de Sjaak kunnen zijn. En het lek is in Windows WEL actief aangevallen. Lees aub beter voordat je reageert. Wat betreft het gebruik van kwetsbaarheden als marketing heb je wel gelijk, daar heeft Google zeker een handje van.
Maar ja als je elkaar wat kapot kan maken.....
Leg eens uit ?
Wat is volgens jou de nette manier van werken als je een actief aangevallen lek ontdekt in een OS/applicatie ?
"actief aangevallen" betekent 'de bad guys weten het al'
De “actieve” aanvallen bestaan uit twee fases: 1. Een actieve aanval op een Google Chrome beveiligingslek, 2.
Vervolgens kon er een aanval op het Microsoft lek plaatsvinden.
Uh - de actieve aanval op de kernelbug bestaat uit _enige_ manier om een lokaal binnen te komen. Een lek in Office volstaat ook.
Als Chrome up-to-date is dan hebben deze actieve aanvallen dus geen effect.
Als er geen sprake is van enig ander lek waardoor een aanvallen code op een account kon uitvoeren.
Ik zie nergens dat het _alleen_ exploitable was via een chrome lek.
Tuurlijk, er zit een lek in Microsoft Windows, MS moet deze idd dichten, maar dit lek is NIET actief aangevallen. Het lek in Chrome is wel actief aangevallen.
Waar lees je dat het kernel lek NIET actief aangevallen werd ?
Als je ongewone verwerkingen niet in de gaten hebt dan is er veel meer om op orde te brengen. Waarom is browser lek?
Maar ja als je elkaar wat kapot kan maken.....
Leg eens uit ?
Wat is volgens jou de nette manier van werken als je een actief aangevallen lek ontdekt in een OS/applicatie ?
"actief aangevallen" betekent 'de bad guys weten het al'
Ze hadden even moeten wachten tot de volgende security update vam Microsoft
Anders zijn alle browsers gebaseerd op Chromium kwetsbaar. Dus ook de nieuwe Edge.
Anders zijn alle browsers gebaseerd op Chromium kwetsbaar. Dus ook de nieuwe Edge.
Bedenk: Microsoft heeft een flinke lading fouten er uit gehaald toen ze de chromium kernel integreerden
Anders zijn alle browsers gebaseerd op Chromium kwetsbaar. Dus ook de nieuwe Edge.
Maar ja als je elkaar wat kapot kan maken.....
Leg eens uit ?
Wat is volgens jou de nette manier van werken als je een actief aangevallen lek ontdekt in een OS/applicatie ?
"actief aangevallen" betekent 'de bad guys weten het al'
Ze hadden even moeten wachten tot de volgende security update vam Microsoft
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
