Cybercriminelen misbruiken fout die Microsoft negen jaar geleden al dichtte

De aanvallers misleiden slachtoffers eerst om te zorgen dat ze een legiteme remote management tool genaamd Atera gebruiken, zodat ze toegang krijgen tot een apparaat en de controle kunnen overnemen. Vervolgens misbruiken ze een fout in de signature-verificatie van Microsoft, waarmee wordt vastgesteld dat een bestand legitiem en te vertrouwen is, schrijft Wired.

Via die fout kunnen aanvallers een legitiem DLL-bestand - een bestand tussen meerdere stukken software gedeeld wordt om code te laden - aanpassen om hun malware op het systeem te zetten. Het DLL-bestand in kwestie is digitaal ondertekend door Microsoft. Maar de aanvallers kunnen het bestand op zo'n onopvallende manier aanpassen dat die handtekening blijft staan en het bestand dus legitiem lijkt, terwijl deze dat niet is. 

Patch wel/niet verplicht

Microsoft dichtte de fout eind 2013 al met een patch die de verificatie van de handtekening strikter maakte. Bestanden die subtiel bewerkt waren, werden met de fix gemarkeerd als verdacht. 

De patch zou in eerste instantie naar alle Windows-gebruikers worden uitgerold, maar in juli 2014 besloot Microsoft om de update toch optioneel te maken. Het bedrijf concludeerde namelijk dat de patch een grote impact zou hebben op bestaande software: de fix zorgde voor vals positieven, waarbij legitieme bestanden als potentieel gevaarlijk werden aangemerkt. "Daarom is Microsoft niet meer van plan om het striktere verificatiegedrag als standaard af te dwingen", aldus het bedrijf. 

De patch is daardoor lang niet door iedereen geïnstalleerd, waardoor apparaten kwetsbaar blijven. Microsoft benadrukt nu dat gebruikers zichzelf kunnen beschermen door de update alsnog te installeren. De Windows-maker zegt daarnaast dat kwetsbaarheid alleen misbruikt kan worden als een apparaat al gecompromitteerd is of als aanvallers slachtoffers zelf zo ver krijgen om een gemanipuleerd bestand uit te voeren op een apparaat.