Overslaan en naar de inhoud gaan

Cybercriminelen misbruiken fout die Microsoft negen jaar geleden al dichtte

Cybercriminelen hebben sinds november vorig jaar bijna 2.200 slachtoffers in 111 landen gemaakt, door een fout te misbruiken die Microsoft negen jaar geleden al voorzag van een patch. De criminelen installeren bij de aanval de malware ZLoader, die onder meer gebruikt wordt bij ransomware-aanvallen of om gevoelige data te stelen.
hack
© Shutterstock
Shutterstock

De aanvallers misleiden slachtoffers eerst om te zorgen dat ze een legiteme remote management tool genaamd Atera gebruiken, zodat ze toegang krijgen tot een apparaat en de controle kunnen overnemen. Vervolgens misbruiken ze een fout in de signature-verificatie van Microsoft, waarmee wordt vastgesteld dat een bestand legitiem en te vertrouwen is, schrijft Wired.

Via die fout kunnen aanvallers een legitiem DLL-bestand - een bestand tussen meerdere stukken software gedeeld wordt om code te laden - aanpassen om hun malware op het systeem te zetten. Het DLL-bestand in kwestie is digitaal ondertekend door Microsoft. Maar de aanvallers kunnen het bestand op zo'n onopvallende manier aanpassen dat die handtekening blijft staan en het bestand dus legitiem lijkt, terwijl deze dat niet is. 

Patch wel/niet verplicht

Microsoft dichtte de fout eind 2013 al met een patch die de verificatie van de handtekening strikter maakte. Bestanden die subtiel bewerkt waren, werden met de fix gemarkeerd als verdacht. 

De patch zou in eerste instantie naar alle Windows-gebruikers worden uitgerold, maar in juli 2014 besloot Microsoft om de update toch optioneel te maken. Het bedrijf concludeerde namelijk dat de patch een grote impact zou hebben op bestaande software: de fix zorgde voor vals positieven, waarbij legitieme bestanden als potentieel gevaarlijk werden aangemerkt. "Daarom is Microsoft niet meer van plan om het striktere verificatiegedrag als standaard af te dwingen", aldus het bedrijf. 

De patch is daardoor lang niet door iedereen geïnstalleerd, waardoor apparaten kwetsbaar blijven. Microsoft benadrukt nu dat gebruikers zichzelf kunnen beschermen door de update alsnog te installeren. De Windows-maker zegt daarnaast dat kwetsbaarheid alleen misbruikt kan worden als een apparaat al gecompromitteerd is of als aanvallers slachtoffers zelf zo ver krijgen om een gemanipuleerd bestand uit te voeren op een apparaat. 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in