image

Windowsgebruikers aangevallen via uitgeschakelde Internet Explorer

woensdag 17 juli 2024, 11:42 door Redactie, 11 reacties

Aanvallers hebben misbruik gemaakt van een kwetsbaarheid in Windows om gebruikers via de uitgeschakelde Internet Explorer aan te vallen. Microsoft kwam eerder deze maand met beveiligingsupdates voor de kwetsbaarheid, die mede door het Zero Day Initiative van Trend Micro aan Microsoft werd gerapporteerd. Het antivirusbedrijf heeft nu meer details over de aanval gegeven, nadat dit eerder ook door securitybedrijf Check Point werd gedaan.

Internet Explorer wordt sinds 15 juni 2022 niet meer ondersteund en is inmiddels ook in Windows 10 en Windows uitgeschakeld. De browser is echter nog wel aanwezig in het besturingssysteem, hoewel niet toegankelijk voor doorsnee gebruikers, aldus Trend Micro. Wanneer gebruikers IE willen starten zal Edge worden geladen. Via een kwetsbaarheid in het MSHTML-platform van Windows wisten aanvallers HTML Application (HTA) bestanden direct via het uitgeschakelde IE-proces te starten.

De aanvallers gebruikten zip-bestanden waarin zogenaamd ebooks in pdf-formaat zouden zitten. Deze bestanden werden verspreid via online bibliotheken, cloudopslagdiensten, Discord en gecompromitteerde websites. In werkelijkheid ging het niet om een pdf-bestand, maar een bestand eindigend op pdf.url. Windows laat standaard geen bestandsextensies zien, waardoor het voor gebruikers kon lijken dat het om een pdf-bestand ging.

Wanneer gebruikers het malafide .url-bestand openen wordt er een HTA-bestand gedownload en krijgt de gebruiker de vraag die te openen of op te slaan. Kiest de gebruiker voor openen, dan wordt er infostealer-malware uitgevoerd die wachtwoorden, cookies en andere gegevens van het systeem steelt en terugstuurt naar de aanvallers. Ook is het mogelijk om via de malware andere malware te installeren of aanvallen uit te voeren.

"In deze campagne hebben we gezien dat hoewel gebruikers geen toegang meer tot IE hebben, aanvallers nog steeds misbruik kunnen maken van Windowsoverblijfselen op hun machine zoals IE, om gebruikers en organisaties met ransomware en backdoors te infecteren, of als proxy te gebruiken voor het uitvoeren van andere malware", concludeert Trend Micro. "Aangezien services zoals IE een groot aanvalsoppervlak hebben en geen updates meer ontvangen, vormt het een serieus beveiligingsprobleem voor Windowsgebruikers."

Image

Reacties (11)
17-07-2024, 12:39 door Anoniem
Windows overblijfselen ja zeg dat wel oa...het zelfde verhaal met hotmail zou ook niet meer veilig zijn. Maar het bestaat nog steeds...ms gooit alles op een hoop onder het mom van Outlook /hotmail....en maar door knoeien jongens...en maar koppelen lekker veilig. ms
17-07-2024, 13:26 door Anoniem
Gevalletje gebrekkige cyber hygiene
17-07-2024, 14:00 door Anoniem
Mhhh, zit die zooi dan nog steeds ingebouwd (al dan niet uitgeschakeld) in Windows?
Geweldige zet voor een bedrijf met zoveel geld!
Lol.
17-07-2024, 17:03 door Anoniem
Door Anoniem: Mhhh, zit die zooi dan nog steeds ingebouwd (al dan niet uitgeschakeld) in Windows?
Geweldige zet voor een bedrijf met zoveel geld!
Lol.

MS moest en zou IE verweven/integreren met haar OS.
Daar plukt ze nu de zure vruchten van.

Nothing lasts forever.
Vooral applicaties niet.

Het wordt tijd dat MS de code van haar OS van de grond af opnieuw opbouwt.
Er zit teveel legacy meuk en vervuiling in.
Maar ja, dat krijg je als je een kerstboom optuigt....

:-)
17-07-2024, 17:52 door Anoniem
Vroeger, toen ik nog Windows gebruikte, was het eerste wat ik deed als ik een verse installatie had moeten doen, de bestandsextensies AANZETTEN! Zo ergerlijk dat die extensies standaard uitstonden, dat heeft veel ellende veroorzaakt.
17-07-2024, 21:21 door Anoniem
Door Anoniem: Vroeger, toen ik nog Windows gebruikte, was het eerste wat ik deed als ik een verse installatie had moeten doen, de bestandsextensies AANZETTEN! Zo ergerlijk dat die extensies standaard uitstonden, dat heeft veel ellende veroorzaakt.

Volgens MS waren die extenties te verwarrend voor haar windows-gebruikers. 0:-)

Iedereen met een beetje gezond verstand kon aan zien komen dat er misbruik van die verborgen extenties gemaakt zou gaan worden.
"Security through obscurity" werkt niet.
Maar een foute beslissing terugdraaien, kan MS nog steeds niet goed.

MS is dan ook ontworpen met de onkundige thuisgebruiker als maatstaf.
Alsof het een waterkoker is met alleen een aan- en uitknop.
Alle complexiteit zit diep onder de moterkap verborgen (achter 3 of 4 schillen tegenwoordig).
Met alle risico's voor de eindgebruiker tot gevolg.

Ik ben maar wat blij dat ik thuis jaren geleden al overgestapt ben op iets anders.
Nu hopen dat ze dat op kantoor ooit ook nog gaan doen.
17-07-2024, 21:35 door Anoniem
Door Anoniem: Vroeger, toen ik nog Windows gebruikte, was het eerste wat ik deed als ik een verse installatie had moeten doen, de bestandsextensies AANZETTEN! Zo ergerlijk dat die extensies standaard uitstonden, dat heeft veel ellende veroorzaakt.
Oei, spijtig dat je nooit kennis gemaakt hebt met Total Commander.
18-07-2024, 08:38 door Korund - Bijgewerkt: 18-07-2024, 08:39
(duplicaat)
18-07-2024, 13:24 door Anoniem
Door Anoniem:
Door Anoniem: Vroeger, toen ik nog Windows gebruikte, was het eerste wat ik deed als ik een verse installatie had moeten doen, de bestandsextensies AANZETTEN! Zo ergerlijk dat die extensies standaard uitstonden, dat heeft veel ellende veroorzaakt.
Oei, spijtig dat je nooit kennis gemaakt hebt met Total Commander.

Hij had het over een schone installatie. Niet een die al "vervuild" was met allerlei portable apps of installaties.
19-07-2024, 08:35 door Xavier Ohole
Zelfs 'dood' is het nog gevaarlijk!
19-07-2024, 12:02 door Anoniem
Waarom zet Microsoft ook standaard de bestands extensies uit ?

klein stukje veiligheid die je zelf makkelijk kan controleren als deze aan staat
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.