Microsoft meldt actief misbruik van lekken in Windows Hyper-V en MSHTML
Microsoft waarschuwt voor twee actief aangevallen kwetsbaarheden in Windows Hyper-V en het Windows MSHTML-platform, waar al voor het uitkomen van de beveiligingsupdates misbruik van is gemaakt. Hyper-V is Microsofts virtualisatiesoftware waarmee virtual machines (VM's) zijn te maken. Via de kwetsbaarheid (CVE-2024-38080) kan een aanvaller met toegang tot het systeem zijn rechten verhogen tot die van SYSTEM.
"Hoewel niet specifiek door Microsoft vermeld, laten we van het worst-case scenario uitgaan en zeggen dat een geautoriseerde gebruiker op een guest OS kan zijn", zegt Dustin Childs van securitybedrijf ZDI. "Microsoft meldt niet hoe wijdverbreid het misbruik is, maar deze exploit zou zeer handig zijn voor ransomware-aanvallen. Als je Hyper-V draait, test en rol deze update snel uit." De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 7.8. Het beveiligingslek werd door een niet nader genoemde onderzoeker aan Microsoft gerapporteerd.
De kwetsbaarheid in het Windows MSHTML-platform (CVE-2024-38112) maakt een spoofing-aanval mogelijk, maar Microsoft geeft geen verdere details over wat er gespooft kan worden. "Een aanvaller zou het slachtoffer een malafide bestand moeten sturen dat het slachtoffer zou moeten uitvoeren", aldus de beschrijving van Microsoft. De kwetsbaarheid werd door securitybedrijf Check Point aan Microsoft gemeld.
Check Point laat weten dat aanvallers speciale 'Windows internet shortcut' bestanden (.url) gebruiken, die wanneer geopend Internet Explorer een malafide website van de aanvaller laten laden. "Door de url via IE te laden in plaats van de moderne en veel veiligere Chrome/Edge-browser op Windows, krijgt de aanvaller aanzienlijke voordelen in misbruik van de computer van het slachtoffer, ook al draait de computer Windows 10/11", aldus het securitybedrijf.
Daarnaast maken de aanvallers ook gebruik van zogenaamde url-bestanden die op een pdf-bestand lijken, maar in werkelijkheid ervoor zorgen dat een malafide hta-applicatie wordt gedownload en uitgevoerd. De gisteren beschikbaar gestelde beveiligingsupdates worden op de meeste systemen automatisch geïnstalleerd.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!