image

Windows-kwetsbaarheid wekenlang actief misbruikt bij malware-aanvallen

woensdag 15 mei 2024, 08:19 door Redactie, 14 reacties

Een kwetsbaarheid in Windows is wekenlang actief misbruikt bij malware-aanvallen zonder dat een update beschikbaar was om het probleem te verhelpen. Gisterenavond kwam Microsoft tijdens de patchronde van mei met een update. Het beveiligingslek in de Windows Desktop Window Manager (DWM) core library is één van de twee actief aangevallen kwetsbaarheden die Microsoft deze maand heeft verholpen.

De Desktop Window Manager wordt gebruikt voor de weergave van de Windows-desktop. Een kwetsbaarheid in het onderdeel, aangeduid als CVE-2024-30051, maakt het mogelijk voor aanvallers die al toegang tot het systeem hebben om hun rechten te verhogen. In dit geval kunnen er SYSTEM-rechten worden verkregen, waarmee een aanvaller volledige controle over het systeem krijgt. Het beveiligingslek alleen is niet voldoende om een systeem op afstand te compromitteren. Dit zou moeten worden gecombineerd met een andere kwetsbaarheid of een aanvaller zou via malware of andere malafide applicatie toegang moeten hebben.

Het beveiligingslek werd door onderzoekers van Kaspersky. Google Threat Analysis Group, Google Mandiant en DBAPPSecurity WeBin Lab aan Microsoft gerapporteerd. Kaspersky ontdekte een exploit die van de kwetsbaarheid misbruik maakt op 1 april in een document dat naar Googles online virusscanner VirusTotal was geüpload. Volgens de virusbestrijder lijkt CVE-2024-30051 heel veel op een andere kwetsbaarheid in de Windows DWM core library (CVE-2023-36033) die ook actief werd misbruikt voordat een update beschikbaar was.

Kaspersky wil nog geen verdere details geven, maar laat wel weten dat het beveiligingslek is gebruikt door de criminelen achter de Qakbot-malware en andere malware-families. Het antivirusbedrijf denkt dan ook dat meerdere aanvallers kennis van de kwetsbaarheid hebben. De Qakbot-malware die Kaspersky noemt wordt via phishingmails verspreid en kan op besmette computers inloggegevens stelen en verdere malware installeren.

De tweede actief aangevallen betreft CVE-2024-30040, een kwetsbaarheid in het Windows MSHTML-platform. Het beveiligingslek wordt aangeduid als een 'security feature bypass' waarmee een aanvaller beveiligingsmaatregelen van Microsoft 365 en Microsoft Office kan omzeilen. Misbruik is mogelijk wanneer een doelwit een malafide document opent. Details over de aanvallen zijn niet gegeven. De Windows-updates worden op de meeste systemen automatisch geïnstalleerd.

Reacties (14)
15-05-2024, 09:52 door Xavier Ohole
Een kwetsbaarheid in Windows is wekenlang actief misbruikt bij malware-aanvallen zonder dat een update beschikbaar was om het probleem te verhelpen. Gisterenavond kwam Microsoft tijdens de patchronde van mei met een update

Gewoon wachten tot de volgende patchdinsdag en systemen kwetsbaar laten? Werkelijk schandalig!
15-05-2024, 10:07 door Anoniem
Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.
15-05-2024, 10:42 door Anoniem
Kaspersky is toch wel goed he, maar is natuurlijk FOUT he , want we kunnen niet meer denken , alleen nog maar roepen!
15-05-2024, 11:52 door Anoniem
Door Anoniem: Kaspersky is toch wel goed he, maar is natuurlijk FOUT he , want we kunnen niet meer denken , alleen nog maar roepen!
Niet roepen, maar nadenken, dus geen Kaspersky
15-05-2024, 12:59 door Anoniem
Door Anoniem:
Door Anoniem: Kaspersky is toch wel goed he, maar is natuurlijk FOUT he , want we kunnen niet meer denken , alleen nog maar roepen!
Niet roepen, maar nadenken, dus geen Kaspersky
Graag een onderbouwing anders blablabla
15-05-2024, 14:09 door _R0N_
Door Anoniem: Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.

Open Source is niet veel beter, je kunt de source doorspitten maar wees eerlijk wanneer heb je dat voor het laatst gedaan?
15-05-2024, 14:20 door Anoniem
Door _R0N_:
Door Anoniem: Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.

Open Source is niet veel beter, je kunt de source doorspitten maar wees eerlijk wanneer heb je dat voor het laatst gedaan?
Daar wordt ook alleen maar gezocht, als iemand anders het toevallig vindt. Dan wordt er een oplossing geschreven en DAN pas bekendgemaakt en geüpdatet. Dus veel verschil is er niet.
15-05-2024, 15:11 door _R0N_ - Bijgewerkt: 15-05-2024, 15:12
Door Anoniem:
Door _R0N_:
Door Anoniem: Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.

Open Source is niet veel beter, je kunt de source doorspitten maar wees eerlijk wanneer heb je dat voor het laatst gedaan?
Daar wordt ook alleen maar gezocht, als iemand anders het toevallig vindt. Dan wordt er een oplossing geschreven en DAN pas bekendgemaakt en geüpdatet. Dus veel verschil is er niet.

Precies. Het is op papier een leuk verhaal dat iedereen de source kan inzien en dus lekken kan ontdekken maar in werkelijkheid zijn de enigen die de source inzien de mensen die de code schrijven en mensen die het willen misbruiken.
De rest van de wereld doet gewoon apt install

Het verhaal is dus niets meer en niets minder dan een mythe van schijnveiligheid
15-05-2024, 15:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Kaspersky is toch wel goed he, maar is natuurlijk FOUT he , want we kunnen niet meer denken , alleen nog maar roepen!
Niet roepen, maar nadenken, dus geen Kaspersky
Graag een onderbouwing anders blablabla
Beter voorkomen dan genezen, meer onderbouwing is niet nodig: https://cybernews.com/best-antivirus-software/kaspersky-antivirus-review/
15-05-2024, 15:30 door Anoniem
Door Anoniem: Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.

Opensource zorgt niet voor veiligere code. Niemand gaat die vele miljoenen regels code lezen. de praktijk leert dat alleen als je er een onderdeel van ontwikkeld of onderhoud je een lek kan ontdekken, maar dat is niet anders bij closedsource.
15-05-2024, 18:56 door Xavier Ohole
Open source zorgt wel degelijk voor veiliger code omdat er niets onder de pet gehouden kan worden of zelfs in de doofpot gestopt! Indien iemand denkt dat toch niemand in de source code zal gaan kijken en een probleem laat zitten dan is dat achteraf te achterhalen door versiebeheer en kan iemand aansprakelijk worden gesteld! Er is zelfs een 'blame' functie! ;-) dus men kijkt wel uit!
15-05-2024, 19:52 door Anoniem
Door _R0N_:
Door Anoniem:
Door _R0N_:
Door Anoniem: Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.

Open Source is niet veel beter, je kunt de source doorspitten maar wees eerlijk wanneer heb je dat voor het laatst gedaan?
Daar wordt ook alleen maar gezocht, als iemand anders het toevallig vindt. Dan wordt er een oplossing geschreven en DAN pas bekendgemaakt en geüpdatet. Dus veel verschil is er niet.

Precies. Het is op papier een leuk verhaal dat iedereen de source kan inzien en dus lekken kan ontdekken maar in werkelijkheid zijn de enigen die de source inzien de mensen die de code schrijven en mensen die het willen misbruiken.
De rest van de wereld doet gewoon apt install

Het verhaal is dus niets meer en niets minder dan een mythe van schijnveiligheid

denk beiden eens een stapje verder...
15-05-2024, 21:16 door Anoniem
Door _R0N_:
Door Anoniem: Dit is nog maar het topje van de ijsberg omdat het om een gesloten ontwikkelproces gaat. Wij krijgen dit nu te horen omdat het door anderen aan Microsoft is gerapporteerd. Wat er intern nog meer onder de pet gehouden, of aan de NSA is doorgegeven, vertellen ze ons ons niet. Gesloten gemeenschappen hebben geen toekomst meer. Wordt tijd dat iemand hier de stekker uit trekt.

Open Source is niet veel beter, je kunt de source doorspitten maar wees eerlijk wanneer heb je dat voor het laatst gedaan?
Waarom zou ik dat zelf moeten doen? Omdat jij dat niet kan? Waarom betaal jij eigenlijk voor software?
Ga je eerst eens verdiepen in open source voordat je maar wat roept. BV https://en.wikipedia.org/wiki/The_Cathedral_and_the_Bazaar
Ik heb al een paar keer een ontwikkelaar ingehuurd die voor mij aanpassingen heeft gemaakt in Libreoffice bv. Zelfs gratis (rtf filters) via betrokken ontwikkelaar. Dat is mij bij Microsoft en partners nog nooit gelukt, laat staan een richting opduwen.
16-05-2024, 12:12 door Joep Lunaar
Door Xavier Ohole: Open source zorgt wel degelijk voor veiliger code omdat er niets onder de pet gehouden kan worden of zelfs in de doofpot gestopt! Indien iemand denkt dat toch niemand in de source code zal gaan kijken en een probleem laat zitten dan is dat achteraf te achterhalen door versiebeheer en kan iemand aansprakelijk worden gesteld! Er is zelfs een 'blame' functie! ;-) dus men kijkt wel uit!

Inderdaad en daarom blijkt ook vaak dat als een bedrijf zijn eigen code wil uitbrengen als FOSS dat nog niet zo eenvoudig omdat die closed source code dan vaak niet voldoet aan de eisen die aan FOSS wordt gesteld qua onderhoudbaarheid; denk aan de structuur van de code, de stijl, dode code, overvloed aan onzinnige comments enz en het opschonen van code is veel werk. Linus Torvalts heeft wel eens opgemerkt dat alle bugs een beveiligingsrisico zijn, en hoewel daar vast wel iets aan te nuanceren valt, is het in de kern geen onjuiste uitspraak en impliceert dat niet schone code wat closed source dus vaak (niet altijd !) blijkt te zijn ook onveiliger is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.