Nieuws
image

Microsoft verhelpt actief aangevallen kwetsbaarheid in CLFS-driver Windows

woensdag 11 december 2024, 09:20 door Redactie, 2 reacties

Tijdens de laatste patchdinsdag van 2024 heeft Microsoft een actief aangevallen kwetsbaarheid in Common Log File System (CLFS) driver van Windows verholpen. Een onderdeel waar in het verleden vaker beveiligingslekken zijn aangetroffen die bij aanvallen zijn ingezet. Afgelopen september kondigde Microsoft nog aan dat het de CLFS-driver beter zou gaan beveiligen tegen aanvallen.

Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging. Applicaties die logbestanden willen opslaan kunnen er gebruik van maken. In de afgelopen vijf jaar zijn er ruim twintig kwetsbaarheden in CLFS ontdekt. Meerdere daarvan werden actief misbruikt voordat een update van Microsoft beschikbaar was en voor andere verschenen allerlei exploits. Het gaat hier om 'Elevation of Privilege' kwetsbaarheden, waardoor een aanvaller met toegang tot het systeem zijn rechten kan verhogen.

Ook de nu actief aangevallen kwetsbaarheid (CVE-2024-49138) maakt het mogelijk voor een aanvaller die al code op het systeem kan uitvoeren om zijn rechten te verhogen naar die van SYSTEM, waarmee er volledige controle over het systeem wordt verkregen. Microsoft geeft verder geen details over de kwetsbaarheid, die door securitybedrijf CrowdStrike werd gerapporteerd. Het beveiligingslek is in alle ondersteunde versies van Windows aanwezig. De update zal op de meeste systemen automatisch worden geïnstalleerd.

Reacties (2)
Reageer met quote
Gisteren, 09:38 door Anoniem
Nou het werd tijd...Microsoft. nl
Reageer met quote
Gisteren, 10:53 door Anoniem
Privilege escalation is enkel een probleem als malware weet uit te voeren op een systeem.
En voor de meeste eindgebruikers zal het dan al te laat zijn, aangezien alle interessante bestanden te openen zijn met de rechten die malware al heeft op het moment van uitvoeren.

Persoonlijk heb ik gevonden dat de meeste aanvallen vanuit 3 vectoren komen:
1. websites: een mailtje met een link naar phish/scam/info-stealer website. (of .html bijlage)
2. Macro's: Een document waarbij gebruikers balkjes wegklikken en vervolgens draait er een foute macro.
3. Explorer abuse: bestandsnaam of extensie is gemanipuleerd, lijkt legitiem document, dubbelklik en boem!

Voor nummer 1 moet je training geven, desnoods links filteren/scannen als dat kan.
Nummer 2 is simpel: blokkeer macro's, het liefst een melding naar je SOC met het document voor doorlichting.
En de derde vector is eigenlijk enkel op te lossen door explorer.exe te vervangen voor iets veiligers.
Dat programma is zo vol met gaten en "features" dat je het beter volledig kan vermijden.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search