Microsoft lost zero-day-kwetsbaarheid op die naar verluidt door Chinese spionnen werd uitgebuit. Het reparatieplan voor oktober van het bedrijf bevat ook deze zero-day-kwetsbaarheid onder: 71 anderen. Dit jaar wordt al geteld als de rijkste op 0-daagse inbreuken, maar het feest lijkt nog lang niet voorbij.
Chinese spionnen achter de CVE-2021-40449 zero-day kwetsbaarheid
Het bedrijf brengt meestal patches uit op de tweede dinsdag van elke maand, bekend als Patch Tuesday. Deze time-release fixes 71 gebreken, waaronder één actief uitgebuit. Er zijn beveiligingsfouten gevonden in de Edge-browser, Microsoft Office, Visuele studio, Exchange-server, en MSHTML. Ze hebben allemaal beveiligingsupdates ontvangen. Cyberbeveiligingsspecialisten hebben twee van hen kritische beoordelingen gegeven, 68 zo belangrijk en één lage ernstclassificatie. Drie waren al openbaar gemaakt voordat de patches werden uitgebracht en één die door de identificatie gaat CVE-2021-40449 werd ontdekt in het wild.
Deze exploit is gedetecteerd en gerapporteerd door Boris Larin, de malware-analist. Hij is verantwoordelijk voor de detectie en preventie van geavanceerde bedreigingen zoals exploits. Volgens het rapport werd de exploit gebruikt om Microsoft Windows-servers aan te vallen.
“Naast het vinden van de zero-day in het wild, we analyseerden de malware-payload die werd gebruikt samen met de zero-day exploit, en ontdekte dat varianten van de malware werden gedetecteerd in wijdverbreide spionagecampagnes tegen IT-bedrijven, militaire/defensie aannemers, en diplomatieke entiteiten,”collega's Costin Raiu en Larin schreven op de cyberbeveiligingsblog.1
De allereerste opgemerkte specifieke aanvalsactiviteit met misbruik van bevoegdheden op Windows-servers werd eind augustus en begin september van datzelfde jaar gedetecteerd. CVE-2021-40449 hielp aanvallers om Windows-beveiliging te omzeilen. Het was een “gebruik-na-vrij” probleem met het vrijgeven van informatie. De aanvallers werden geïdentificeerd als een Chinees sprekende “IjzerHusky” APT-groep die sindsdien ter plaatse is geweest 2012. Ze gebruikten de Win32k-kwetsbaarheid om te spioneren, zeggen de onderzoekers. Hackers maakten over het algemeen een trojan voor externe toegang (RAT) om een command-and-control-punt op Windows Server tot stand te brengen. Code die bij deze aanvallen werd gebruikt, kreeg de “MysterieSlak” Naam.
Nog een fout in Exchange-servers gemeld door U.S. Nationale Veiligheidsdienst
Een andere fout die nogal wat media-aandacht kreeg, is: CVE-2021-26427. Het heeft een CVSS-score van 9.0 en werd gemeld door de V.S. Nationale Veiligheidsdienst. In maart gebruikten hackers het om e-mails af te tappen van en honderden bedrijven te injecteren met achterdeurtjes. Exchange-servers zijn waardevolle doelen voor hackers die bedrijfsnetwerken willen onderzoeken. De ernst wordt ook afgedwongen door het feit dat alles beperkt is tot logisch aangrenzende topologie en dat impliceert niet direct via internet exploitatie.
Microsoft heeft deze fout gemarkeerd als waarschijnlijk niet onder de radar van uitbuiting. De reden is dat hackers toegang tot uw netwerk moeten hebben om dit beveiligingslek te kunnen gebruiken. Maar cyberbeveiligingsspecialisten waarschuwen dat dit niet het eerste is waar je op moet letten bij het repareren van patches, maar dat het zeker in het oog moet worden gehouden. E-mails zijn altijd een primair doelwit geweest voor hackers. Het is simpelweg vanwege de gegevens die erin staan die voor verschillende kwaadaardige doeleinden kunnen worden gebruikt.
