Microsoft zou het lek negen jaar geleden hebben gedicht, maar het lijkt er op dat e-krakers toch gebruik/misbruik hebben gemaakt van die kwetsbaarheid. Je zou dan toch verwachten dat daarmee het probleem voorbij is (of ben ik te naïef), maar Microsoft heeft de reparatie in 2014 optioneel gemaakt.
ZLoader schijnt berucht te zijn als (illegaal) werktuig van digitale inbrekers of losgeldaanvallers. Nu schijnen begin november de computers van 2200 slachtoffers in 111 landen besmet te zijn doordat de aanvallers gebruikmaakten van een kwetsbaarheid in Windows, die in 2013 al zou zijn gerepareerd.
Volgens het cyberbeveiligingsbedrijf CheckPoint hebben de krakers om ZLoad langs de ‘bewaking’ te krijgen, gebruik gemaakt van een lek in het systeem van Windows om de betrouwbaarheid van bestanden te beoordelen. Ze zouden de slachtoffers eerst verleid hebben een ordentelijke toepassing binnen te halen (Atera) om zich toegang te verschaffen en de controle over te nemen over het rekentuig.
Dat is niks nieuws. Dan moeten ze ZLoader nog op het beoogde apparaat zetten, zonder dat Windows Defender of andere antivirustoepassingen daar tegen optreden. Daar komt het oude lek in beeld. De aanvallers slaagden er in een bestand van de dynamic-linkbibliotheek (DLL) te veranderen om de kwaadaardige code af te leveren. DLL is voorzien van een Microsofthandtekening, maar het bleek de aanvallers toch gelukt te zijn die te veranderen zonder dat dat gevolgen had voor de authenticiteitscontrole van het bestand. “Dat gaan we vaker zien”, zegt Kobi Eisenkraft van CheckPoint.
Optioneel
Microsoft heeft wat het bedrijf authenticode noemt, het controleren op betrouwbaarheid van bestanden, in 2013 strenger gemaakt. Die reparatie zou bij alle Windowsgebruikers terecht moeten zijn gekomen, maar in 2014 heeft Microsoft die reparatie ‘optioneel’ gemaakt, aangezien die reparatie voor problemen zou kunnen zorgen. Het zou dus best kunnen zijn dat jouw Windowsbakkie niet beschermd is.
In een verklaring stelde Microsoft dat de gebruikers zich kunnen beschermen door de ‘pleister’ alsnog binnen te halen. Volgens het bedrijf zijn alleen apparaten kwetsbaar als die al eens besmet zijn of als gebruikers kunnen worden verleid tot het gebruiken van gemanipuleerde bestanden (die betrouwbaar lijken). “Klanten die de reparatie doorvoeren en de configuratie instellen volgens het advies zullen beschermd zijn”, stelt het bedrijf. Eisenkraft stelt dat zijn bedrijf de boel kan repareren maar dat niemand daar gebruik van maakt.
CheckPoint denkt dat de aanvallen zijn uitgevoerd door een criminele kraakgroep die wordt aangeduid met MalSmoke. Die groep zou een verleden hebben waarin dergelijke technieken ook werden gebruikt. Die zou ook vaak gebruik gemaakt hebben van ‘vervuilde’ reclame op pornostekken om hun vileine doelen te bereiken.
Bron: Wired