image

Actief aangevallen zerodaylek in Windows gedicht door Microsoft

dinsdag 13 april 2021, 19:58 door Redactie, 2 reacties

Tijdens de patchcyclus van april heeft Microsoft in totaal 108 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows dat actief werd aangevallen voordat de beveiligingsupdates beschikbaar waren. Daarnaast zijn er vier kwetsbaarheden in Azure en Windows gepatcht die al voor de patchronde bekend waren, maar waar volgens Microsoft geen misbruik van is gemaakt.

Het zerodaylek, aangeduid als CVE-2021-28310, is een out-of-bounds (OOB) write kwetsbaarheid in het bestand dwmcore.dll, dat onderdeel van de Desktop Window Manager (dwm.exe) is. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen om vervolgens code met systemrechten uit te voeren. Het lek alleen is niet voldoende om een systeem over te nemen en moet met een ander beveiligingslek worden gecombineerd.

De kwetsbaarheid werd gevonden door antivirusbedrijf Kaspersky dat onderzoek deed naar een ander zerodaylek, waarvoor in februari een update verscheen. Via dat zerodaylek kon een aanvaller ook zijn rechten verhogen. Deze eerste zeroday was ontdekt door securitybedrijf DBAPPSecurity en zou door een Advanced Persistent Threat (APT)-groep genaamd Bitter zijn misbruikt.

Kaspersky denkt dat de exploit voor CVE-2021-28310 mogelijk door meerdere actoren is misbruikt en waarschijnlijk is ingezet in combinatie met een browser-exploit om uit de sandbox van de browser te ontsnappen of systeemrechten voor verdere toegang te krijgen. Het lukte de virusbestrijder niet om de gehele exploitketen in handen te krijgen, waardoor het onbekend is wat voor soort kwetsbaarheden de aanvallers hebben gebruikt. De beveiligingsupdate voor de kwetsbaarheid zal op de meeste systemen automatisch worden geïnstalleerd.

Reacties (2)
13-04-2021, 20:43 door Anoniem
Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen om vervolgens code met systemrechten uit te voeren. Het lek alleen is niet voldoende om een systeem over te nemen
Hozo kan je met systeemrechten geen systeem overnemen?
13-04-2021, 23:49 door tomm
Door Anoniem:
Hozo kan je met systeemrechten geen systeem overnemen?
Je vergeet het laatste stukje van die zin mee te citeren; “en moet met een ander beveiligingslek worden gecombineerd.”
Ofterwijl; Het lek wat nu gepatched is, is niet voldoende om een systeem (op afstand) over te kunnen nemen maar als een kwaadwillende dat op een andere manier gelukt is dan kan die met dit lek (wat nu verholpen is) zijn rechten binnen het systeem verhogen naar systeemrechten (local SYSTEM).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.