Overslaan en naar de inhoud gaan

Ransomwarebende gebruikt eigen 0-day gat voor Windows

Securityleverancier Kaspersky heeft eerder dit jaar een noviteit gevonden in de bekende ransomwarefamilie Nokoyawa. Namelijk het gebruik van een kwetsbaarheid die voorheen onbekend was en waarvoor nog geen patch beschikbaar was. Zo'n zogeheten 0-day gat wordt meestal benut door statelijke actoren, maar nu doet een cybercrimebende er z'n werk mee.
Salt Security
© Salt Security
Salt Security

De kwetsbaarheid is ontdekt na een reeks van aanvallen op Windows-servers van kleine en middelgrote bedrijven in het Midden-Oosten, Noord-Amerika en Azië. Ondernemingen in die gebieden kregen hackpogingen op zich af waarbij aanvallers hogere rechten probeerden te verkrijgen. De daarbij ingezette exploits leken volgens Kasperksy erg veel op reeds bekende CLFS-driverexploits (Common Log File System) voor Windows, die het securitybedrijf al eerder had geanalyseerd. Maar er bleek toch meer aan de hand te zijn.

Flink vermomd

Nader onderzoek door experts van de oorspronkelijk Russische securityleverancier leverde de ontdekking op dat één van de exploits een 0-day kwetsbaarheid gebruikt. Dat gat is aanwezig in verschillende uitvoeringen van Windows, inclusief de allernieuwste versie 11. Deze nieuwe exploitcode van de aanvallers die Nokoyawa gebruiken, werkt dan ook op die verschillende versies van het Microsoft-besturingssysteem.

De exploit is in hoge mate 'vermomd' (obfuscated) door de toevoeging van veel 'ruis' in z'n code. Meer dan 80% van de code bestaat uit troep die elegant is gecompileerd in de binary van de aanvalssoftware. Kaspersky verklaart dat zijn onderzoekers de code snel hebben weten uit te vogelen en dat hun bevindingen toen zijn gemeld bij Microsoft. Die softwareleverancier heeft eerder deze maand een patch uitgebracht voor deze kwetsbaarheid, die dus in de praktijk al wordt misbruikt door kwaadwillenden.

Vele Windows-pc's én -servers

Het gaat om CVE-2023-28252 die wel valt in de 'familie' van CLFS-kwetsbaarheden. Kwetsbare Windows-versies lopen vanaf de 1809-build van Windows 10 tot en met de 22H2-release van Windows 11, ook voor systemen met ARM-processors. Naast de clientuitvoering is ook Windows Server kwetsbaar en wel vanaf versie 2008 tot en met 2022, in de diverse uitvoeringen van dat serverplatform. Succesvol gebruik van dit gat geeft aanvallers dan de diepgaande SYSTEM-rechten op Windows.

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in