Microsoft dicht drie zero-daylekken die actief misbruikt werden

Microsoft heeft bij een patchronde een groot aantal lekken gedicht, waaronder drie zero-daykwetsbaarheden die volgens beveiligingsbureaus actief misbruikt werden door staatshackers. Het gaat om twee Office-bugs en een Windows-kwetsbaarheid.

Microsoft heeft de updates dinsdag gepubliceerd in zijn Security Update Guide, die de maandelijkse Security Bulletins opvolgt. In totaal gaat het om 57 lekken die zijn gedicht in Internet Explorer, Edge, Windows, Office, het .NET Framework en de Adobe Flash Player. Drie kwetsbaarheden zijn met name belangrijk.

Kwetsbaarheden CVE-2017-0261 en CVE-2017-0262 maken het mogelijk voor aanvallers om op afstand code uit te voeren als ze gebruikers weten over te halen om met Office een speciaal vervaardigd Encapsulated PostScript-, of eps-bestand te openen. De lekken zitten in de manier waarop Office 2010, 2013 en 2016 dit soort bestanden afhandelen. Microsoft heeft aanwijzingen dat de lekken 'op kleine schaal' gericht werden ingezet. Volgens beveiligingsbedrijf FireEye ging het om Russische staatshackers.

Daarnaast is er een Windows-lek met aanduiding CVE-2017-0263, dat het mogelijk maakt code uit te voeren in kernelmodus en zo beheerdersrechten te verkrijgen. Vereist is dat een aanvaller inlogt op een systeem. De oorzaak zit in de manier waarop de Windows-kernel objecten in het geheugen verwerkt. Ook dit lek werd actief misbruikt volgens FireEye.

Verdere patches pakken een probleem met geheugencorruptie in Internet Explorer aan, terwijl ook de kwetsbaarheid met betrekking tot de Malware Protection Engine in Windows deel uitmaakt van het bulletin. Microsoft dichtte dit door Google gevonden lek dinsdag. Ten slotte zorgt Microsoft er met updates voor dat de Edge- en Internet Explorer-browsers geen ssl/tls-certificaten die met sha1 zijn ondertekend, meer accepteren. Steeds meer bedrijven faseren sha1 uit nadat de Nederlandse cryptanalist Marc Stevens en het beveiligingsteam van Google erin slaagden een succesvolle collision-aanval op het sha-1-hashingalgoritme uit te voeren.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 10-05-2017 10:13 23

10-05-2017 • 10:13

23

Lees meer

Onderzoek: meeste ransomware slaat meer dan drie dagen na infectie toe
Onderzoek: meeste ransomware slaat meer dan drie dagen na infectie toe Nieuws van 19 maart 2020
Onderzoeker vindt zero-daykwetsbaarheid in Internet Explorer 11
Onderzoeker vindt zero-daykwetsbaarheid in Internet Explorer 11 Nieuws van 15 april 2019
Adobe Flash heeft vanaf 2021 officieel End Of Life-status
Adobe Flash heeft vanaf 2021 officieel End Of Life-status Nieuws van 25 juli 2017
Microsoft: hackers gebruikten Intel-feature om netwerkverkeer te verbergen
Microsoft: hackers gebruikten Intel-feature om netwerkverkeer te verbergen Nieuws van 8 juni 2017
Microsoft dicht opnieuw door Google gevonden lek in eigen beveiligingssoftware
Microsoft dicht opnieuw door Google gevonden lek in eigen beveiligingssoftware Nieuws van 29 mei 2017
Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender
Microsoft verhelpt ernstige, door Google gevonden kwetsbaarheid in Defender Nieuws van 9 mei 2017
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd Nieuws van 15 april 2017
'Shadowbrokers-dump bevat verschillende Windows-zero-days'
'Shadowbrokers-dump bevat verschillende Windows-zero-days' Nieuws van 14 april 2017
Meer producten en artikelen
Netwerk en systeembeheer Microsoft

Reacties (23)

-Moderatie-faq
23
19
10
2
0
3
Wijzig sortering
ATS 10 mei 2017 10:18
Raar... Als Microsoft op de hoogte is, is het al geen zero-day meer. Laat staan als ze een patch uitbrengen.

Dat ze issues gefixed hebben die actief misbruikt worden geloof ik prima, en dat deze lekken ooit zero-days waren omdat Microsoft er nog niet van op de hoogte was geloof ik ook, maar het gebruik van deze term in dit artikel is alleen maar verwarrend.

[Reactie gewijzigd door ATS op 23 juli 2024 18:47]

Aardedraadje @ATS10 mei 2017 11:04
Van jouw link: "A zero-day (also known as zero-hour or 0-day or day zero) vulnerability is an undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network."

Dit lek is misbruikt voor er een patch/disclosure kwam. Dus m.i. gewoon een zero-day.
Ulysses @ATS10 mei 2017 10:39
Zeroday slaat meer op of het geen algemeen bekende lekken zijn, dus niet zoals nu aangeduid met een CVE. Wat had er dan moeten staan: "Voormalig Zero-day lekken" ? Meld dat dan aub met het feedback linkje bovenaan dit topic. :)
brammieman @Ulysses10 mei 2017 12:06
Zero days zijn simpel gezegd 'lekken' die al bekend zijn/waren bij hackers en waar exploits voor bedacht/gebruikt zijn voor dat de fabrikant/developer van de vulnerability op de hoogte is/was. 0 days om te patchen...
Dat later een patch uitkomt is niet ter zaken doende.
bones 10 mei 2017 13:19
Ik vraag me altijd af hoe hackers dit soort zero day lekken vinden? Is daar een speciaal protocol voor of is het gewoon van alles proberen en gokken dat men wat vind?
anargeek @bones10 mei 2017 13:35
Proberen, bugs analyseren, broncode lezen, reverse-engineering, toepassen van gevonden exploit op andere producten, changelogs uitpluizen, en soms gewoon stom toeval. Het is een lucratieve business, want zero-days en hun exploits kunnen veel geld opleveren (op de zwarte markt, of via bugbounties). Dus het is niet altijd zo dat een hacker die een zeroday gebruikt, deze zelf ontdekt heeft

[Reactie gewijzigd door anargeek op 23 juli 2024 18:47]

tweaknico @bones11 mei 2017 11:55
Naast wat @anargeek meldt: Het hele adresseerbare internet wordt constant onderzocht door allerlei bots, die van alles proberen op alle poorten. (Port Knocking). Een van de resultaten is bv. een database als https://shodan.io
(Daar kun je bevragen welke poorten er op een IP adres beschikbaar zijn en wel respons er op de poorten te zien is geweest.)

Op basis van die informatie kun je ook verder met bv. default accounts van bekende hardware. (vgl. Mirai botnet en opvolgers).
WhatsappHack
10 mei 2017 13:37
Het grappige is dat Security Essentials dus blijkbaar een gat opende, ipv te dichten.
wiseger @WhatsappHack10 mei 2017 17:29
Grappig? Ik vind het eerlijk gezegd vrij triest. De software waarop je vertrouwd, van een bekend merk, blijkt een van de grootste dreigingen te zijn omdat ie ook nog een onder admin rechten draait.
R4gnax @wiseger10 mei 2017 19:27
onder admin rechten draait
Nog een tandje erger: onder local system rechten.
tweaknico @wiseger11 mei 2017 11:56
En dat na jaren van "Security Initiative".... Blijkbaar is iedereen die opgeleid was al weer vertrokken.
tweakradje 10 mei 2017 11:03
Alsof staatshackers zouden bevestigen dat ze deze lekken gebruikt zouden hebben. Not.
anargeek @tweakradje10 mei 2017 11:51
Dat hoeven ze niet te bevestigen, dat kan FireEye opmaken uit de analyse van aanvallen en gevonden malware
mutley69 10 mei 2017 22:41
Het NSA verzamelt lekken, dat staat in een aantal documenten - dus moeten we niet verbaasd staan kijken als zij die lekken ook duchtig gebruiken. Alleen de russen? Wie gelooft dat?
En in de EU doet men mee - men helpt, maar men helpt zichzelf daardoor om zeep. We moeten gewoon zelf die intelligentie opbouwen - en ze voor onszelf houden. Stillettjesaan begint het besef te groeien maar is het al niet te laat na de verkiezing van mr. T r u m p?
TagForce @Amazigh_N_Ariff10 mei 2017 10:27
Dat is niet wat er staat..
Er staat dat de lekken op kleine schaal gericht werden ingezet, en dat het in die gevallen om Russische staatshackers zou gaan. Er staat nergens dat ze niet door andere staatshackers gebruikt zijn, alleen daar heeft Microsoft geen aanwijzingen voor.
Mitsuko @TagForce10 mei 2017 10:49
Of die aanwijzingen mogen ze legaal niet publiceren. De VS heeft immers de beste hackers van de wereld als we hun moeten geloven (en dat zou me niet verbazen).
Soggney @Amazigh_N_Ariff10 mei 2017 10:27
Het staat ook duidelijk erbij dat dit volgens FireEye is. "Volgens beveiligingsbedrijf FireEye ging het om Russische staatshackers."
Verwijderd @Amazigh_N_Ariff10 mei 2017 10:30
Beetje begrijpend lezen kan geen kwaad, dit is niet wat er in het artikel staat.
SuperDre @RCPXC10 mei 2017 10:51
En de amerikanen, en de engelsen, en ga zo maar door.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq