APT-groepen gebruiken snelkoppelingen om malafide commando's op Windows-systemen uit te voeren

[Captain Kirk]

Verschillende APT-groepen maken gebruik van een kwetsbaarheid in Windows uit om malafide commando's uit te voeren op machines van slachtoffers via geprepareerde snelkoppelingen. Daarbij verbergen zij command-line-opdrachten in .Ink-bestanden, met als doel malware payloads uit te voeren. Hiervoor waarschuwt Trend Micro via het Trend Zero Day Initiative. Het meldt bijna 1.000 malafide .Ink-bestanden te hebben ontdekt die ZDI-CAN-25373 actief probeerden uit te buiten. Hoewel het lek nu pas is ontdekt, meldt het beveiligingsbedrijf dat de kwetsbaarheid is gebruikt in aanvallen die teruggaan tot 2017. Verschillende APT-groepen uit onder meer Noord-Korea, Iran, Rusland en China lijken gebruik te maken van de kwetsbaarheid.

 

Niet op korte termijn gepatcht

Het lek is door Trend Micro gemeld bij Microsoft. Het beveiligingsbedrijf meldt echter dat Microsoft het lek niet op korte termijn zal dichten. Het Amerikaanse bedrijf beoordeelt de ernst van het lek als laag. "Deze kwetsbaarheid is gemeld aan Microsoft via het bug bounty-programma van Trend ZDI; Microsoft heeft dit geclassificeerd als "low severity" en de kwetsbaarheid zal in de nabije toekomst dan ook niet worden gepatcht", schrijft Trend Micro.

 

Trend Micro adviseert organisaties hun systemen te onderzoeken op de aanwezigheid van malafide .Ink-bestanden. Onder meer overheden, private bedrijven, financiële organisaties, denktanks en telecombedrijven zijn doelwit van de aanvallen.

 

bron: https://www.security.nl