Microsoft dicht actief aangevallen zerodaylek in Windows-kerneldriver

[Captain Kirk]

Microsoft heeft tijdens de patchdinsdag van oktober 71 kwetsbaarheden verholpen, waaronder een actief aangevallen zerodaylek dat in alle ondersteunde versies van Windows aanwezig is. Dit beveiligingslek, aangeduid als CVE-2021-40449, bevindt zich in de Win32k-kerneldriver en zorgt ervoor dat een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen.

De kwetsbaarheid alleen is niet voldoende om toegang tot een systeem te krijgen en moet met een ander beveiligingslek worden gecombineerd waardoor remote code execution mogelijk is. Het lek kan bijvoorbeeld ook worden gebruikt door malware die al op het systeem aanwezig is. Verdere details over de waargenomen aanvallen zijn niet door Microsoft gegeven. De kwetsbaarheid werd door een onderzoeker van antivirusbedrijf Kaspersky aan het techbedrijf gemeld.

Kaspersy heeft wel meer details gegeven over de aanvallen, die in augustus en september van dit jaar werden opgemerkt. Volgens de virusbestrijder zijn de aanvallen uitgevoerd door een Chinese Advanced Persistent Threat (APT)-groep. Vooralsnog had deze groep het alleen voorzien op Windows-servers. De malware die bij de aanvallen werd gebruikt verzamelt informatie over besmette systemen en laat aanvallers op afstand commando's uitvoeren.

 

bron: https://www.security.nl