'Aanvallers gebruikten inmiddels gedicht Windows-lek bij hacks in Midden-Oosten'

Volgens beveiligingsbedrijf Kaspersky Labs gebruikte een APT-groep een inmiddels verholpen Windows-lek bij gerichte aanvallen in het Midden-Oosten. Microsoft dichtte de kwetsbaarheid samen met 48 andere lekken tijdens een nieuwe Patch Tuesday.

In een analyse van het lek, aangeduid met CVE-2018-8453, schrijft Kaspersky dat dit werd gebruikt door een groep die het aanduidt met FruityArmor. Het zou de tweede keer zijn dat deze groep een zero-day-kwetsbaarheid inzet. Het zou tot nu toe gaan om een 'extreem gerichte campagne' met een klein aantal doelwitten in het Midden-Oosten. Het beveiligingsbedrijf schrijft de aanvallen aan de groep toe op basis van een eerder gebruikte backdoor, die exclusief gebruikt zou worden door FruityArmor, en overlap tussen de huidige en vorige command and control-infrastructuur.

Microsoft dichtte de kwetsbaarheid tijdens zijn maandelijkse patchronde, ook wel aangeduid als Patch Tuesday. Het bedrijf schrijft dat het om een actief aangevallen lek gaat en bedankt Kaspersky voor de ontdekking ervan. Het lek is aanwezig in de win32k.sys-driver en maakt het volgens Microsoft mogelijk dat een aanvaller verhoogde rechten op een kwetsbaar Windows-systeem verkrijgt door middel van privilege escalation. Onder meer Windows 10 was getroffen door het lek. Volgens Kaspersky werd de kwetsbaarheid gebruikt in malware om de nodige rechten te verkrijgen en aanwezig te blijven op een geïnfecteerd systeem.

In zijn maandelijkse patchronde heeft Microsoft in totaal 49 lekken verholpen, waarvan 12 kritiek. Dat stelt onder meer Trend Micro's Zero Day Initiative in een overzicht. Daarin vermeldt het drie lekken die publiek bekend waren voordat een patch beschikbaar kwam. Het gaat daarbij om CVE-2018-8423, CVE-2018-8497 en CVE-2018-8431.