Microsoft verhelpt zeroday in Windows gebruikt bij ransomware-aanvallen

[Captain Kirk]

Tijdens de patchdinsdag van april heeft Microsoft een zerodaylek in Windows verholpen die bij ransomware-aanvallen is ingezet. De kwetsbaarheid bevindt zich in de Windows Common Log File System (CLFS) Driver, waar in een jaar tijd al drie andere zerodaylekken werden aangetroffen en verholpen. Het CLFS is een Windowsonderdeel dat wordt gebruikt voor logging.

Via het beveiligingslek, aangeduid als CVE-2023-28252, kan een aanvaller die al toegang tot het systeem heeft zijn rechten verhogen. De kwetsbaarheid alleen is niet voldoende om een systeem over te nemen en moet dan ook worden gecombineerd met een ander beveiligingslek of kan worden gebruikt door malware die bijvoorbeeld via een e-mailbijlage of macro op het systeem wordt uitgevoerd.

De kwetsbaarheid wordt al zeker sinds februari bij ransomware-aanvallen gebruikt, zo meldt antivirusbedrijf Kaspersky dat het lek ontdekte en aan Microsoft rapporteerde. Worden de meeste zerodays door statelijke actoren ingezet, dit beveiligingslek is gebruikt door criminelen die er de Nokoyawa-ransomware mee installeren, aldus Kaspersky.

De virusbestrijder merkt op dat de kwetsbaarheid eenvoudig gevonden had kunnen worden door middel van fuzzing. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.

In de CLFS-driver zijn in het verleden zoals gezegd meerdere beveiligingslekken aangetroffen. Dat CVE-2023-28252 toch niet werd opgemerkt is volgens Kaspersky mogelijk te verklaren doordat fuzzers het probleem wel vonden en er zich een "exception" voordeed, maar dat er geen crash plaatsvond en het lek zo onopgemerkt bleef. De update die het probleem verhelpt wordt op de meeste Windowscomputers automatisch geïnstalleerd.

 

bron: https://www.security.nl