Kaspersky heeft onlangs een Windows zero-day-kwetsbaarheid ontdekt. Met de exploit gebaseerd op deze kwetsbaarheid, kregen aanvallers toegang tot hogere privileges op het aangevallen apparaat en konden de beveiligingsmechanismen in de Google Chrome-browser worden omzeild. De onlangs ontdekte exploit werd gebruikt in de kwaadaardige Operation WizardOpium. Zero-day-kwetsbaarheden zijn tot dan toe onbekende bugs in software. Wanneer criminelen deze als eerste ontdekken, kunnen ze lange tijd ongemerkt handelen en daarmee ernstige en onverwachte schade veroorzaken. Normale beveiligingsoplossingen identificeren deze systeeminfectie namelijk niet en kunnen gebruikers niet beschermen tegen een bedreiging die nog moet worden herkend.
De nieuwe kwetsbaarheid in Windows is door onderzoekers van Kaspersky gevonden dankzij een andere zero-day exploit die Kaspersky’s Exploit Prevention technologie in november 2019 ontdekte in Google Chrome. Met deze exploit konden aanvallers een willekeurige code uitvoeren op de computer van het slachtoffer. Bij nader onderzoek naar deze operatie, die de experts ‘WizardOpium’ noemden, werd de andere kwetsbaarheid ontdekt, dit keer in Windows OS.
Een gedetailleerde analyse van de Elevation of Privileges (EoP) exploit liet zien dat de kwetsbaarheid waar misbruik van gemaakt was, hoort bij de win32k.sys driver. Er zou misbruik gemaakt kunnen worden van deze kwetsbaarheid bij de laatste gepatchte versies van Windows 7 en zelfs bij enkele builds van Windows 10 (nieuwe versies van Windows 10 zijn niet getroffen).
“Dit type aanval vereist enorme middelen, maar levert aanvallers erg veel op. Het aantal zero-days in het wild blijft groeien en deze trend zal waarschijnlijk niet meer verdwijnen. Organisaties moeten vertrouwen op de nieuwste beschikbare kennis over dreigingen en hebben beschermende technologieën nodig die proactief onbekende dreigingen kunnen opsporen, zoals zero-day exploits”, vertelt Jornt van der Wiel, beveiligingsexpert bij Kaspersky.
De kwetsbaarheid is bij Microsoft gemeld en gepatcht op 10 december 2019. Lees voor meer informatie over de nieuwe exploit het hele rapport op Securelist.