Microsoft patcht Windows-backdoor na tip Kaspersky

Dit artikel delen:
Het Albeda College migreert snel naar Windows 10

Microsoft heeft een kritiek lek in Windows gedicht. Via dat lek probeerden cybercriminelen via de Windows-kernel het besturingssysteem over te nemen. Beveiliger Kaspersky Lab meldde het beveiligingslek. Microsoft heeft de route inmiddels gepatcht.

‘Het gedetecteerde aanvalsscenario ziet er als volgt uit’, meldt Kaspersky in een persbericht. ‘Een schadelijk .exe-bestand start om te beginnen de installatie van de malware. De infectie gebruikt het zero-day-lek en verkregen privileges om het systeem van het slachtoffer binnen te dringen. Vervolgens lanceert de malware een backdoor die is gecreëerd met een legitiem element van Windows dat op alle Windows-machines aanwezig is. Dat is het scripting framework Windows PowerShell. Daarmee blijven de cyberaanvallers onopgemerkt. Dat geeft hen de tijd om code te schrijven voor kwaadwillende tools.Vervolgens downloadt de malware een andere backdoor van een legitieme tekstopslagservice. Zo komt de volledige besturing van het geïnfecteerde systeem in handen van de cybercriminelen.’

De beveiliger waarschuwt dat zogenoemde backdoors een gevaarlijk type malware zijn die cyberaanvallers de gelegenheid bieden om geïnfecteerde systemen onopvallend te besturen en dergelijke inbreuken verborgen te houden voor beveiligingsoplossingen. ‘Een achterdeurtje dat gebruikmaakt van een nog niet ontdekte bug in het systeem, de zogeheten zero-day-lek, heeft veel meer kans om onder de radar te blijven. Daarmee worden gebruikers niet beschermd tegen deze nog onbekende dreigingen’, aldus de beveiliger.

Windows PowerShell

Jornt van der Wiel, cybersecurity-expert bij Kaspersky Lab: ‘Bij dergelijke aanvallen onderscheiden we twee belangrijke onderdelen die we vaker tegenkomen bij hele gerichte cyberaanvallen. Allereerst de exploits die lokale privileges overnemen, zodat de malware zich in het systeem kan nestelen. Vervolgens worden legitieme frameworks zoals Windows PowerShell gebruikt om kwaadaardige activiteiten op de machine los te laten. Met deze combinatie omzeilen dreigingsactoren standaardbeveiligingsoplossingen. Het is van belang dat cybersecuritysoftware is uitgerust met functionaliteiten die dergelijke technieken ondervangen.’

De beveiliger detecteerde de kwetsbaarheid  onder de namen: HEUR:Exploit.Win32.Generic, HEUR:Trojan.Win32.Generic, PDM:Exploit.Win32.Generic. Het beveiligingslek is gerapporteerd en volgens de beveiliger heeft Microsoft op 10 april een patch uitgevoerd.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met je persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2019-04-18T11:51:00.000Z Pim van der Beek
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.