Kwetsbare Dell-driver gebruikt bij aanval op Nederlands luchtvaartbedrijf
Een Nederlands luchtvaartbedrijf is eind vorig jaar het doelwit van een aanval geworden waarbij de aanvallers misbruik maakten van een bekende kwetsbaarheid in een driver van fabrikant Dell. Dat laat antivirusbedrijf ESET vandaag weten. De aanvallers benaderden een medewerker van het niet nader genoemde luchtvaartbedrijf via LinkedIn en stuurden hem via het platform een malafide document genaamd "Amzon_Netherlands.docx".
Nadat de medewerker dit document opende werden er verschillende tools en malware op het systeem geïnstalleerd. Of het document gebruikmaakte van macro's of een andere methode om deze bestanden op het systeem te krijgen laat ESET in de analyse niet weten. Security.NL heeft het antivirusbedrijf om meer details gevraagd. Wel meldt de virusbestrijder dat de aanvallers bij de aanval van een kwetsbare Dell-driver gebruikmaakten.
Het gaat om een kwetsbaarheid aangeduid als CVE-2021-21551, waarvoor Dell vorig jaar mei een update beschikbaar maakte. Het beveiligingslek in deze driver maakt het mogelijk voor een aanvaller die al toegang tot het systeem heeft om zijn rechten te verhogen en de computer zo volledig te compromitteren. De aanvallers installeerden deze driver op het systeem en gebruikten vervolgens hun verhoogde rechten om verschillende Windowsonderdelen uit te schakelen en zo de monitoring van beveiligingssoftware te neutraliseren.
Volgens ESET is dit het eerste geregistreerde misbruik van deze kwetsbaarheid in het wild. In april van dit jaar meldde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat er actief misbruik van de betreffende Dell-kwetsbaarheid werd gemaakt. ESET stelt dat de aanval is uitgevoerd door de Lazarus-groep, die vanuit Noord-Korea zou opereren en verantwoordelijk wordt gehouden voor onder andere inbraken bij meerdere cryptobeurzen en cryptobedrijven, waarbij vele miljoenen dollars werden buitgemaakt.
het is voor noord-koreanen helemaal niet interessant om gratis te kunnen vliegen via bij de KLM en de informatie die het oplevert is ook vrij functioneel waardeloos... alsof een president van een land via KLM vliegt.
het lijkt mij dan ook niet voor de hand liggend dat noord-koreanen hun assets onnodig gaan inzetten met het risico op detectie voor nutteloze zaken en daarom lijkt het me ook niet dat het de noord-koreanen zijn.
99% van de tijd zijn het mensen die er zelf voordeel bij hebben.
je ziet dat de VS en Engeland graag hun databases dubbel verifieren..
dus de data die ze aangeleverd krijgen en de data die ze bemachtigen.
dat klinkt paranoide, is het ook maar het levert ook extra inzichten op. bijvoorbeeld bij delta's / discrepanties... want waarom zit die delta daar en wie heeft het erin gestopt. zo kun je bijvoorbeeld assets van buitenlandse toko's ontdekken...
het probleem met paranoide zijn is dat je in een wereld waar je nooit weet of je de waarheid ziet je niet te gefopt wordt door je 'vriendjes' die voor hun eigen doeleinden 'de waarheid' aanpassen. dus ipv een russische/chineese/n-kor spion ontdekken zit je normale mensen te termineren omdat bijv de GCHQ een bestand aangepast had omdat zij hun asset wilde laten vliegen bij KLM ongestoord, terwijl de NSA denkt dat meneer X van die terminal een spion is... jammer maar helaas. u gaat niet naar start maar naar de waterboarding in cuba.
optionele updates (waar dan vaak een net weer hogere versie in staat).
Echter, een grote makke van Windows Update is nog steeds dat als er in Windows Update een driver beschikbaar
komt die geldt voor een lokaal device, deze update ALTIJD geinstalleerd wordt ZELFS als de versie in Windows Update
een lagere versie is dan je al op je systeem hebt!
Dus als je keurig de nieuwe driver van Dell gedownload hebt (zeg versie 10.4) en Windows Update heeft versie 10.1
dan knalt ie die gewoon eroverheen.
Dit leidt er toe dat veel bedrijven "driver updates via Windows Update" uitzetten, en kwetsbaar worden.
Wanneer fixed Microsoft dat nou eens? Is toch niet zo'n rare wens om alleen driver updates te willen installeren met
een hogere versie dan er al op het systeem staat? Vele beheerders zijn hier al tegenaan gelopen maar Microsoft
doet er niets aan, en de MVP's op het forum adviseren dan maar "zet driver updates uit". Tja.
het is voor noord-koreanen helemaal niet interessant om gratis te kunnen vliegen via bij de KLM en de informatie die het oplevert is ook vrij functioneel waardeloos... alsof een president van een land via KLM vliegt.
Het is een veel gemaakte misvatting dat alleen de president, PM, of CEO interessant zijn.
De jaarcijfers van een bedrijf zijn, voor publicatie, niet alleen bij CxO's bekend, maar ook bij het hoofd boekhouding, en allerlei deel-onderdelen bij ondergeschikten.
Evenzeer vliegen de PM en het niveautje vlak daaronder misschien met het regeringsvliegtuig, maar alle niveau's daaronder vliegen gewoon met lijnvluchten .
FYI : KLM heeft codesharing met Korean Airlines , en veel meer.
het lijkt mij dan ook niet voor de hand liggend dat noord-koreanen hun assets onnodig gaan inzetten met het risico op detectie voor nutteloze zaken en daarom lijkt het me ook niet dat het de noord-koreanen zijn.
99% van de tijd zijn het mensen die er zelf voordeel bij hebben.
je ziet dat de VS en Engeland graag hun databases dubbel verifieren..
dus de data die ze aangeleverd krijgen en de data die ze bemachtigen.
Een argument stelt niet veel voor als het zelfs niet intern consistent is.
Eerst stel je dat de president niet met een lijnvlucht gaat. En vervolgs benoem je dat volume databases van lijnvlucht gebruikers wel interessant zijn. Om de een of andere mysterieuze reden denk je dat alleen VS en UK dat wel interessant vinden en Noord Korea dan alleen presidenten zou willen volgen ?
En dat N-Korea wel zuinig zou zijn op assets en de VS/VK niet ?
dat klinkt paranoide, is het ook maar het levert ook extra inzichten op. bijvoorbeeld bij delta's / discrepanties... want waarom zit die delta daar en wie heeft het erin gestopt. zo kun je bijvoorbeeld assets van buitenlandse toko's ontdekken...
het probleem met paranoide zijn is dat je in een wereld waar je nooit weet of je de waarheid ziet je niet te gefopt wordt door je 'vriendjes' die voor hun eigen doeleinden 'de waarheid' aanpassen. dus ipv een russische/chineese/n-kor spion ontdekken zit je normale mensen te termineren omdat bijv de GCHQ een bestand aangepast had omdat zij hun asset wilde laten vliegen bij KLM ongestoord, terwijl de NSA denkt dat meneer X van die terminal een spion is... jammer maar helaas. u gaat niet naar start maar naar de waterboarding in cuba.
gezakt als analyst.
Overigens kan N-Korea nog een additioneel motief hebben , de mogelijkheid om wanneer gewenst een grote disruptie veroorzaken .
Bij VS/VK verwacht je dat een stuk minder (doe je niet bij bondgenoten, en ook forse impact op henzelf. Beide aspecten spelen niet voor N-Korea)
Uit een eerdere ESET writeup, https://www.welivesecurity.com/2022/01/11/signed-kernel-drivers-unguarded-gateway-windows-core/:
Wellicht volgende keer een artikel geheel en begrijpend lezen voordat je reageert?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
