Ga naar inhoud

Zeroday in Microsoft SmartScreen gebruikt bij ransomware-aanvallen

Captain Kirk
 Delen

Aanbevolen berichten

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Een zerodaylek in Microsoft SmartScreen is zeker sinds januari gebruikt bij aanvallen met de Magniber-ransomware, zo heeft Google ontdekt. Gisterenavond kwam Microsoft met een patch voor de kwetsbaarheid. Een soortgelijk beveiligingslek werd eerder al door de ransomwaregroep gebruikt. SmartScreen is een beveiligingsmaatregel van Windows die gebruikers een waarschuwing toont bij het openen van bestanden afkomstig van internet.

Windows kent het Mark-of-the-Web (MOTW) toe aan bestanden die vanaf internet zijn gedownload. Bestanden worden dan van een aparte tag voorzien. Bij het openen van bestanden met een MOTW-tag zal Windows een extra waarschuwing aan gebruikers tonen of ze het bestand echt willen openen, aangezien het van internet afkomstig is. Het zerodaylek (CVE-2023-24880) zorgt ervoor dat de waarschuwing niet verschijnt.

De aanvallers doen dit door het bestand van een speciaal geprepareerde, ongeldige digitale handtekening is te voorzien. Deze handtekening zorgt voor een fout binnen SmartScreen, waardoor het waarschuwingsvenster niet verschijnt. Een gebruiker moet nog wel zelf het malafide bestand openen. Google meldde de kwetsbaarheid op 15 februari aan Microsoft, dat zoals gezegd gisteren met een update kwam.

Volgens Google heeft de Magniber-ransomware zeker sinds januari misbruik van het beveiligingslek gemaakt en zijn de malafide bestanden sindsdien meer dan honderdduizend keer gedownload. De Magniber-ransomware richtte zich in het verleden vaak op Zuid-Korea, maar meer dan tachtigduizend van de honderdduizend downloads sinds januari vonden plaats in Europa.

Google stelt verder dat Microsoft de oorspronkelijke oorzaak niet heeft verholpen. Daardoor konden de aanvallers de update voor de eerdere, soortgelijke kwetsbaarheid omzeilen en gebruikers opnieuw aanvallen. "Omdat de hoofdoorzaak achter de SmartScreen security bypass niet werd opgelost, konden de aanvaller snel een variant van de oorspronkelijke bug vinden", aldus Google, dat spreekt over een trend waarbij softwareleveranciers beperkte patches uitbrengen waardoor aanvallers de kans krijgen nieuwe varianten te vinden.

 

bron: https://www.security.nl

Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.