Zero day lek in Windows aangevallen via besmette advertenties

Welke beveiligingssoftware wordt gebruikt?

Op deze manier kan een aanvaller bijvoorbeeld kijken welke beveiligingssoftware iemand gebruikt en of er software aanwezig is om malware mee te analyseren. Bij de waargenomen aanvallen controleerden de aanvallers of er op aangevallen systemen geen sandbox zoals VirtualBox of VMWare, analysetools zoals Wireshark en Fiddler, en anti-virussoftware van Bitdefender en ESET draaide. Op deze manier konden de aanvallers hun aanvallen voor anti-virusbedrijven en beveiligingsonderzoekers verbergen.

In alle ondersteunde versies van Windows

Het beveiligingslek was aanwezig in alle ondersteunde versies van Windows. Volgens Microsoft zou een aanvaller de kwetsbaarheid via Internet Explorer kunnen uitbuiten. Het bezoeken van een kwaadaardige of gehackte website of het te zien krijgen van een besmette advertentie was in dit geval voldoende. In eerste instantie werd het zero day-lek gebruikt door een campagne van cybercriminelen genaamd “AdGholas”, waarbij besmette advertenties worden gebruikt om internetgebruikers met malware te infecteren. Bij deze specifieke campagne zijn eerder ook zero day lekken in Edge en IE ingezet.

Later werd het lek ook aan de Neutrino-exploitkit toegevoegd. De kwetsbaarheid alleen was niet voldoende voor een aanvaller om systemen met malware te infecteren. Hiervoor was een tweede lek vereist. De Neutrino-exploitkit maakt bijvoorbeeld gebruik van bekende kwetsbaarheden in Adobe Flash Player. Als gebruikers de software op hun computer up-to-date hadden konden ze ondanks het zero day lek in Windows niet via de besmette advertenties besmet raken.

Bron: security.nl

Virtueel patchen van Zscaler voorkomt bovenstaande kwetsbaarheden. Wilt u weten hoe dat binnen uw organisatie werkt, neem dan vandaag nog contact zodat u ook morgen nog beter beschermd bent!