Actief aangevallen zerodaylek in Windows gedicht door Microsoft

[Captain Kirk]

Tijdens de patchcyclus van april heeft Microsoft in totaal 108 kwetsbaarheden verholpen, waaronder een zerodaylek in Windows dat actief werd aangevallen voordat de beveiligingsupdates beschikbaar waren. Daarnaast zijn er vier kwetsbaarheden in Azure en Windows gepatcht die al voor de patchronde bekend waren, maar waar volgens Microsoft geen misbruik van is gemaakt.

Het zerodaylek, aangeduid als CVE-2021-28310, is een out-of-bounds (OOB) write kwetsbaarheid in het bestand dwmcore.dll, dat onderdeel van de Desktop Window Manager (dwm.exe) is. Via het lek kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen om vervolgens code met systemrechten uit te voeren. Het lek alleen is niet voldoende om een systeem over te nemen en moet met een ander beveiligingslek worden gecombineerd.

De kwetsbaarheid werd gevonden door antivirusbedrijf Kaspersky dat onderzoek deed naar een ander zerodaylek, waarvoor in februari een update verscheen. Via dat zerodaylek kon een aanvaller ook zijn rechten verhogen. Deze eerste zeroday was ontdekt door securitybedrijf DBAPPSecurity en zou door een Advanced Persistent Threat (APT)-groep genaamd Bitter zijn misbruikt.

Kaspersky denkt dat de exploit voor CVE-2021-28310 mogelijk door meerdere actoren is misbruikt en waarschijnlijk is ingezet in combinatie met een browser-exploit om uit de sandbox van de browser te ontsnappen of systeemrechten voor verdere toegang te krijgen. Het lukte de virusbestrijder niet om de gehele exploitketen in handen te krijgen, waardoor het onbekend is wat voor soort kwetsbaarheden de aanvallers hebben gebruikt. De beveiligingsupdate voor de kwetsbaarheid zal op de meeste systemen automatisch worden geïnstalleerd.

 

bron: https://www.security.nl