Mozilla snel met lek dichten in Firefox, Windows stuk trager

Geplaatst op door
Logo Firefox

Firefox (afb: WikiMedia Commons)

Er zijn al weer twee nieuwe kwetsbaarheden ontdekt in de Mozilla-webrauzer Firefox en Microsoft Windows. Zeer waarschijnlijk Russische e-krakers zouden erin geslaagd zijn die te combineren om ​​aanvallen te creëren waarmee ze de controle over een computer kunnen overnemen zonder dat de eigenaar daaraan een bijdrage hoeft te leveren anders dan een foute koppeling aan te klikken. Inmiddels zijn de lekken gedicht; door Mozilla in 25 uur.

De webaanvallen werden ontdekt door ESET Research. Die digitale beveiligers analyseerden de aanvallen en ontdekten twee kwetsbaarheden. Een in de webrauzer van Mozilla, in het Tor-webprogramma en in het e-postprogramma Thunderbird van Mozilla die niet eerder ontdekt was. De andere komt op het conto van Windows. De aanvallen waren vooral gericht op Europa en de VS.
De truc werkt alleen door beide kwetsbaarheden na elkaar te misbruiken. De krakers (aangeduid met RomCom, maar ook met Storm-0978, Tropical Scorpius of UNC2596) stuurden de slachtoffers via een nepwebstek door naar een server met een script dat misbruik maakt van de CVE-2024-9680-fout in  Firefox. Hierdoor kunnen ze een achterdeur installeren, die zal worden gebruikt om de tweede kwetsbaarheid CVE-2024-49039 in Windows te misbruiken. Die zit in de Taakplanner.
De code maakt het mogelijk om een ​​lek in de Taakplanner-machtigingen te gebruiken om een ​​PowerShell-proces te starten, dat kwalijke code van een opdrachtserver binnenhaalt. Bij deze techniek hoeft de gebruiker nergens op te klikken, behalve dat hijzij de oorspronkelijke nepstek bezoekt. De ESET-onderzoekers kwamen er niet achter hoe de koppeling voor die nepstek bij de slachtoffers terechtkwam.

Mozilla was snel

Mozilla loste de fout snel op, met pleisters voor Firefox en de Tor-browser op 9 oktober en voor Thunderbird op 10 oktober. Die organisatie slaagde erin dat voor elkaar te krijgen slechts 25 uur nadat zij op de hoogte was gebracht van de fout. Microsoft heeft op 12 november het lek voor Windows gedicht. Op naar het volgende.

Bron: Futura-Sciences

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.