Macro-malware verhoogde rechten via Windows-zerodaylek

[Captain Kirk]

Eén van de twee zerodaylekken waarvoor Microsoft afgelopen dinsdag een beveiligingsupdate uitbracht is in combinatie met macro-malware gebruikt. Via het lek kon de malware zijn rechten op het systeem verhogen. Om besmet te raken moest het slachtoffer wel eerst een kwaadaardige macro activeren.

Dat meldt antivirusbedrijf ESET in een analyse van de aanval. Onderzoekers van het bedrijf ontdekten het zerodaylek in juni en informeerden Microsoft, dat dinsdag met een update kwam. De kwetsbaarheid was aanwezig in Windows 7 en Server 2008 en is ingezet bij een "zeer gerichte aanval in Oost-Europa", aldus onderzoeker Anton Cherepanov. Het doelwit was een overheidsorganisatie, maar verdere details zijn niet bekendgemaakt.

De aanval zou zijn uitgevoerd door een groep die in het verleden Russische banken en bedrijven aanviel. Nu houdt de groep zich bezig met cyberspionage, aldus de onderzoekers. Het zerodaylek in Windows is op zichzelf niet genoeg om een systeem te infecteren. Hiervoor maakt de groep gebruik van documenten met kwaadaardige macro's. Wanneer slachtoffers de macro in het document inschakelen wordt de malware geïnstalleerd. Door gebruik te maken van het zerodaylek kon de malware met kernelrechten worden uitgevoerd.

Bij de aanval tegen de Oost-Europese overheidsinstantie werd onder andere een wachtwoordsteler gebruikt, die wachtwoorden uit e-mailclients, browsers en andere programma's steelt en naar de aanvallers terugstuurt. Daarnaast maakten de aanvallers gebruik van een tweede module. Het gaat om een installatieprogramma van het gratis antiviruspakket AVZ dat werd gebruikt om de primaire backdoor te laden.

Het tweede zerodaylek dat Microsoft afgelopen dinsdag patchte werd ontdekt door securitybedrijf Rescurity en maakt het ook mogelijk voor een aanvaller die al toegang tot een systeem heeft om zijn rechten te verhogen. Dit bedrijf heeft nog geen details over de kwetsbaarheid en betreffende aanval vrijgegeven.

 

 

bron: security.nl