Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft dicht drie zero-daylekken die actief misbruikt werden

Door , 23 reacties

Microsoft heeft bij een patchronde een groot aantal lekken gedicht, waaronder drie zero-daykwetsbaarheden die volgens beveiligingsbureaus actief misbruikt werden door staatshackers. Het gaat om twee Office-bugs en een Windows-kwetsbaarheid.

Microsoft heeft de updates dinsdag gepubliceerd in zijn Security Update Guide, die de maandelijkse Security Bulletins opvolgt. In totaal gaat het om 57 lekken die zijn gedicht in Internet Explorer, Edge, Windows, Office, het .NET Framework en de Adobe Flash Player. Drie kwetsbaarheden zijn met name belangrijk.

Kwetsbaarheden CVE-2017-0261 en CVE-2017-0262 maken het mogelijk voor aanvallers om op afstand code uit te voeren als ze gebruikers weten over te halen om met Office een speciaal vervaardigd Encapsulated PostScript-, of eps-bestand te openen. De lekken zitten in de manier waarop Office 2010, 2013 en 2016 dit soort bestanden afhandelen. Microsoft heeft aanwijzingen dat de lekken 'op kleine schaal' gericht werden ingezet. Volgens beveiligingsbedrijf FireEye ging het om Russische staatshackers.

Daarnaast is er een Windows-lek met aanduiding CVE-2017-0263, dat het mogelijk maakt code uit te voeren in kernelmodus en zo beheerdersrechten te verkrijgen. Vereist is dat een aanvaller inlogt op een systeem. De oorzaak zit in de manier waarop de Windows-kernel objecten in het geheugen verwerkt. Ook dit lek werd actief misbruikt volgens FireEye.

Verdere patches pakken een probleem met geheugencorruptie in Internet Explorer aan, terwijl ook de kwetsbaarheid met betrekking tot de Malware Protection Engine in Windows deel uitmaakt van het bulletin. Microsoft dichtte dit door Google gevonden lek dinsdag. Ten slotte zorgt Microsoft er met updates voor dat de Edge- en Internet Explorer-browsers geen ssl/tls-certificaten die met sha1 zijn ondertekend, meer accepteren. Steeds meer bedrijven faseren sha1 uit nadat de Nederlandse cryptanalist Marc Stevens en het beveiligingsteam van Google erin slaagden een succesvolle collision-aanval op het sha-1-hashingalgoritme uit te voeren.

Olaf van Miltenburg

Nieuwsco÷rdinator

Reacties (23)

Wijzig sortering
Raar... Als Microsoft op de hoogte is, is het al geen zero-day meer. Laat staan als ze een patch uitbrengen.

Dat ze issues gefixed hebben die actief misbruikt worden geloof ik prima, en dat deze lekken ooit zero-days waren omdat Microsoft er nog niet van op de hoogte was geloof ik ook, maar het gebruik van deze term in dit artikel is alleen maar verwarrend.

[Reactie gewijzigd door ATS op 10 mei 2017 10:19]

Van jouw link: "A zero-day (also known as zero-hour or 0-day or day zero) vulnerability is an undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network."

Dit lek is misbruikt voor er een patch/disclosure kwam. Dus m.i. gewoon een zero-day.
Zeroday slaat meer op of het geen algemeen bekende lekken zijn, dus niet zoals nu aangeduid met een CVE. Wat had er dan moeten staan: "Voormalig Zero-day lekken" ? Meld dat dan aub met het feedback linkje bovenaan dit topic. :)
Zero days zijn simpel gezegd 'lekken' die al bekend zijn/waren bij hackers en waar exploits voor bedacht/gebruikt zijn voor dat de fabrikant/developer van de vulnerability op de hoogte is/was. 0 days om te patchen...
Dat later een patch uitkomt is niet ter zaken doende.
Ik vraag me altijd af hoe hackers dit soort zero day lekken vinden? Is daar een speciaal protocol voor of is het gewoon van alles proberen en gokken dat men wat vind?
Proberen, bugs analyseren, broncode lezen, reverse-engineering, toepassen van gevonden exploit op andere producten, changelogs uitpluizen, en soms gewoon stom toeval. Het is een lucratieve business, want zero-days en hun exploits kunnen veel geld opleveren (op de zwarte markt, of via bugbounties). Dus het is niet altijd zo dat een hacker die een zeroday gebruikt, deze zelf ontdekt heeft

[Reactie gewijzigd door anargeek op 10 mei 2017 13:35]

Naast wat @anargeek meldt: Het hele adresseerbare internet wordt constant onderzocht door allerlei bots, die van alles proberen op alle poorten. (Port Knocking). Een van de resultaten is bv. een database als https://shodan.io
(Daar kun je bevragen welke poorten er op een IP adres beschikbaar zijn en wel respons er op de poorten te zien is geweest.)

Op basis van die informatie kun je ook verder met bv. default accounts van bekende hardware. (vgl. Mirai botnet en opvolgers).
Het grappige is dat Security Essentials dus blijkbaar een gat opende, ipv te dichten.
Grappig? Ik vind het eerlijk gezegd vrij triest. De software waarop je vertrouwd, van een bekend merk, blijkt een van de grootste dreigingen te zijn omdat ie ook nog een onder admin rechten draait.
onder admin rechten draait
Nog een tandje erger: onder local system rechten.
En dat na jaren van "Security Initiative".... Blijkbaar is iedereen die opgeleid was al weer vertrokken.
Alsof staatshackers zouden bevestigen dat ze deze lekken gebruikt zouden hebben. Not.
Dat hoeven ze niet te bevestigen, dat kan FireEye opmaken uit de analyse van aanvallen en gevonden malware
Het NSA verzamelt lekken, dat staat in een aantal documenten - dus moeten we niet verbaasd staan kijken als zij die lekken ook duchtig gebruiken. Alleen de russen? Wie gelooft dat?
En in de EU doet men mee - men helpt, maar men helpt zichzelf daardoor om zeep. We moeten gewoon zelf die intelligentie opbouwen - en ze voor onszelf houden. Stillettjesaan begint het besef te groeien maar is het al niet te laat na de verkiezing van mr. T r u m p?
Dat is niet wat er staat..
Er staat dat de lekken op kleine schaal gericht werden ingezet, en dat het in die gevallen om Russische staatshackers zou gaan. Er staat nergens dat ze niet door andere staatshackers gebruikt zijn, alleen daar heeft Microsoft geen aanwijzingen voor.
Of die aanwijzingen mogen ze legaal niet publiceren. De VS heeft immers de beste hackers van de wereld als we hun moeten geloven (en dat zou me niet verbazen).
Het staat ook duidelijk erbij dat dit volgens FireEye is. "Volgens beveiligingsbedrijf FireEye ging het om Russische staatshackers."
Beetje begrijpend lezen kan geen kwaad, dit is niet wat er in het artikel staat.
En de amerikanen, en de engelsen, en ga zo maar door.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*