image

Google Chrome-gebruikers via drive-by download besmet met rootkit

zondag 1 september 2024, 08:24 door Redactie, 3 reacties
Laatst bijgewerkt: 01-09-2024, 10:23

Gebruikers van Google Chrome zijn door middel van een drive-by download besmet met een rootkit, zo stelt Microsoft in een analyse. De aanvallers gebruikten twee kwetsbaarheden waar op het moment van de aanval geen beveiligingsupdates voor beschikbaar waren. Alleen het bezoeken van een malafide of gecompromitteerde website was voldoende om besmet te worden. Hoeveel gebruikers besmet zijn geraakt en in welke landen laat Microsoft niet weten.

De eerste kwetsbaarheid die de aanvallers gebruikten betrof CVE-2024-7971 en bevond zich in V8, de JavaScript-engine die Chrome en andere browsers gebruiken voor het uitvoeren van JavaScript. De tweede kwetsbaarheid wordt aangeduid als CVE-2024-38106 en was aanwezig in de Windows-kernel. Via het eerste lek konden de aanvallers code in Chrome uitvoeren, om vervolgens via het Windows-lek uit de sandbox van Googles browser te breken, waardoor remote code execution op het systeem mogelijk was.

Microsoft stelt dat meerdere partijen misbruik van het kernel-lek maakten voordat de patch beschikbaar was. De kwetsbaarheid in Windows werd op 13 augustus door Microsoft gepatcht. Google kwam op 21 augustus met een update voor de Chrome-kwetsbaarheid. Via de twee kwetsbaarheden werd de FudModule-rootkit geïnstalleerd, waarmee aanvallers hun activiteiten voor aanwezige beveiligingssoftware kunnen verbergen. Ook kan de rootkit aanwezige antivirus- en monitoringssoftware uitschakelen.

Deze rootkit wordt al enkele jaren door aanvallers gebruikt, die daarbij vaak ook kwetsbaarheden gebruiken waar op het moment van de aanval geen patch voor beschikbaar is, zo liet securitybedrijf Gen Digital onlangs weten. Volgens Microsoft zijn de aanvallen het werk van een Noord-Koreaanse groep die het Citrine Sleet noemt en voor financieel gewin aanvallen tegen cryptobedrijven uitvoert.

Reacties (3)
01-09-2024, 08:48 door Erik van Straten
Door Redactie: Gebruikers van Google Chrome zijn door middel van een drive-by download besmet met een rootkit, zo stelt Microsoft [1] in een analyse.

Dat lijkt mij onvolledige berichtgeving. Uit [1]:
[...]
On August 19, 2024, Microsoft identified a North Korean threat actor exploiting a zero-day vulnerability in Chromium, now identified as CVE-2024-7971, to gain remote code execution (RCE).
[...]
Strengthen operating environment configuration
Keep operating systems and applications up to date. Apply security patches as soon as possible. Ensure that Google Chrome web browser is updated at version 128.0.6613.84 or later, and Microsoft Edge web browser is updated at version 128.0.2739.42 or later to address the CVE-2024-7971 vulnerability.
[...]

Dus een kwetstbaarheid in Chromium (in de open source broncode van de gelijknamige browser [2]) - waar naast Google Chrome, ook Microsoft Edge van is afgeleid - die allen kwetsbaar zijn zolang je niet de laatste updates hebt geïnstalleerd.

[1] https://www.microsoft.com/en-us/security/blog/2024/08/30/north-korean-threat-actor-citrine-sleet-exploiting-chromium-zero-day/

[2] https://www.chromium.org/getting-involved/download-chromium/
01-09-2024, 09:48 door Anoniem
Gaat Noord Korea overstappen naar een nieuwe munt, de bitcoin?

Terwijl je daar als toerist overal met euro's kan betalen. Heeft de speld al gereageerd: "Kim won ton bij staatsloterij".
02-09-2024, 09:41 door Joep Lunaar - Bijgewerkt: 02-09-2024, 09:42
De kwetsbaarheid valt blijkbaar uiteen in twee stukken, een gebrek in de javascript engine die uitvoering van remote code mogelijk maakt en, de tweede, een gebrek in de MS Windows kernerl waardoor een rootkit in het systeem kan worden geïnstalleerd. Het eerste gebrek is niet al te bijzonder, vele computers waarop MS Windows draait, hebben ook programmatuur geïnstalleerd uit onbestemde ongeverifieerde bronnen die veelal zelf al kwalificeert als "remote code" of zelf nogal kwetsbaar is (denk bijv. aan het marketingdeel van de meeste "gratis" meegeleverde virusscanners). Het operating systeem wordt geacht bestand te zijn tegen het draaien van programmatuur met gebreken. De tweede kwetsbaarheid, in de MS Window kernel, is daarom veel ernstiger ernstiger. Zolang gebruikers van MS Windows voor heel gewone beheertaken al terug moeten vallen op van het Internet gedownloade programmatuur is het MS Windows ecosysteem een gevaarlijke. Nb. Reguliere Linux distributies en macOS hebben beslist minder te maken met programmatuur uit onbestemde bronnen omdat bij normaal gebruik de programmatuur uitsluitend via een betrouwbaar kanaal op het systeem komt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.